深入解析JWT（JSON Web Token）的原理及用法

本篇文章為大家帶來了關於JWT的相關知識，其中主要介紹了什麼是JWT？ JWT的原理以及用法是什麼？有興趣的朋友，下面一起來看看吧，希望對大家有幫助。

JSON Web Token（縮寫 JWT）是目前最受歡迎的跨域認證解決方案，本文介紹它的原理和用法。

一、跨網域認證的問題

網路服務離不開使用者認證。一般流程是下面這樣。

1、使用者傳送使用者名稱和密碼給伺服器。

2、伺服器驗證通過後，在目前對話（session）裡面保存相關數據，例如使用者角色、登入時間等等。

3、伺服器傳回使用者一個 session_id，寫入使用者的 Cookie。

4、使用者隨後的每一次請求，都會透過 Cookie，將 session_id 傳回伺服器。

5、伺服器收到 session_id，找到前期儲存的數據，由此得知使用者的身分。

這種模式的問題在於，擴展性（scaling）不好。單機當然沒有問題，如果是伺服器集群，或是跨域的服務導向架構，就要求 session 資料共享，每台伺服器都能夠讀取 session。

舉例來說，A 網站和 B 網站是同一家公司的關聯服務。現在要求，用戶只要在其中一個網站登錄，再訪問另一個網站就會自動登錄，請問怎麼實現？

一種解決方案是 session 資料持久化，寫入資料庫或別的持久層。各種服務收到請求後，都會向持久層請求資料。這種方案的優點是架構清晰，缺點是工程量比較大。另外，持久層萬一掛了，就會單點失敗。

另一個方案是伺服器索性不保存 session 資料了，所有資料都保存在客戶端，每次請求都發回伺服器。 JWT 就是這種方案的一個代表。

二、JWT 的原理

JWT 的原理是，伺服器認證以後，產生 JSON 對象，發回給用戶，就像下面這樣。

{
  "姓名": "张三",
  "角色": "管理员",
  "到期时间": "2018年7月1日0点0分"
}

以後，使用者與服務端通訊的時候，都要發回這個 JSON 物件。伺服器完全只靠這個物件認定使用者身分。為了防止使用者竄改數據，伺服器在產生這個物件的時候，會加上簽名（詳見後文）。

伺服器就不保存任何 session 資料了，也就是說，伺服器變成無狀態了，因此比較容易實現擴充。

三、JWT 的資料結構

實際的 JWT 大概就像下面這樣。

它是一個很長的字串，中間用點（.）分隔成三個部分。注意，JWT 內部是沒有換行的，這裡只是為了方便展示，將它寫成了幾行。

JWT 的三個部分依序如下。

• Header（頭）

• Payload（負載）

• Signature（簽章）

寫成一行，就是下面的樣子。

Header.Payload.Signature

以下依序介紹這三個部分。

3.1 Header

Header 部分是 JSON 對象，描述 JWT 的元數據，通常是下面的樣子。

{
  "alg": "HS256",
  "typ": "JWT"
}

上面程式碼中，alg屬性表示簽署的演算法（algorithm），預設是HMAC SHA256（寫成HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統一寫為JWT。

最後，將上面的 JSON 物件使用 Base64URL 演算法（詳見後文）轉換成字串。

3.2 Payload

Payload 部分也是 JSON 對象，用來存放實際需要傳遞的資料。 JWT 規定了7個官方字段，供選用。

• iss (issuer)：簽發者

• exp (expiration time)：過期時間

• sub (subject)：主題

• aud (audience)：受眾

• nbf (Not Before)：生效時間

• #iat (Issued At)：簽發時間

• #jti (JWT ID)：編號

除了官方字段，你也可以在這個部分定義私有字段，下面就是一個例子。

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意，JWT 預設是不加密的，任何人都可以讀到，所以不要把秘密訊息放在這個部分。

這個 JSON 物件也要使用 Base64URL 演算法轉成字串。

3.3 Signature

Signature 部分是前兩部分的簽名，防止資料竄改。

首先，需要指定一個金鑰（secret）。這個密鑰只有伺服器才知道，不能洩漏給用戶。然後，使用 Header 裡面指定的簽章演算法（預設是 HMAC SHA256），依照下面的公式產生簽章。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就可以返回给用户。

3.4 Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似，但有一些小的不同。

JWT 作为一个令牌（token），有些场合可能会放到 URL（比如 api.example.com/?token=xxx）。Base64 有三个字符+、/和=，在 URL 里面有特殊含义，所以要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

四、JWT 的使用方式

客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

此后，客户端每次与服务器通信，都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是，跨域的时候，JWT 就放在 POST 请求的数据体里面。

五、JWT 的几个特点

（1）JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。

（2）JWT 不加密的情况下，不能将秘密数据写入 JWT。

（3）JWT 不仅可以用于认证，也可以用于交换信息。有效使用 JWT，可以降低服务器查询数据库的次数。

（4）JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

（5）JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。

（6）为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。

推荐学习：《JavaScript视频教程》

以上是深入解析JWT（JSON Web Token）的原理及用法的詳細內容。更多資訊請關注PHP中文網其他相關文章！