JWT用途及其优势

发表于2022-04-05字数统计1.2k阅读时长8分

JWT(JSON Web Token)是一种开放标准(RFC 7519),用于在网络应用间安全地传输信息。它通常用于身份验证和信息交换,具有广泛的应用场景和显著的优势。

1. JWT 的用途

JWT 主要用于以下场景:

1.1 身份验证(Authentication)

  • 用途:在用户登录后,服务器生成一个 JWT 并返回给客户端。客户端在后续请求中携带该 JWT,服务器通过验证 JWT 来确认用户身份。
  • 示例:单点登录(SSO)系统。

1.2 信息交换(Information Exchange)

  • 用途:JWT 可以安全地在各方之间传输信息,因为它是经过签名或加密的,确保信息不被篡改。
  • 示例:在微服务架构中,服务间传递用户信息。

1.3 授权(Authorization)

  • 用途:JWT 可以包含用户的权限信息,服务器可以根据 JWT 中的声明(Claims)决定用户是否有权访问特定资源。
  • 示例:API 访问控制。

2. JWT 的结构

JWT 由三部分组成,用点号(.)分隔:

  • Header:描述令牌的类型和签名算法。
  • Payload:包含声明(Claims),即需要传输的数据。
  • Signature:用于验证令牌的完整性和真实性。

示例

1
Header.Payload.Signature

2.1 Header

  • 包含令牌类型(typ)和签名算法(alg)。
  • 示例
    1
    2
    3
    4
    {
      "alg": "HS256",
      "typ": "JWT"
    }

2.2 Payload

  • 包含声明(Claims),分为三类:
    • 注册声明(Registered Claims):预定义的声明,如 iss(签发者)、exp(过期时间)。
    • 公共声明(Public Claims):自定义的公开声明。
    • 私有声明(Private Claims):自定义的私有声明。
  • 示例
    1
    2
    3
    4
    5
    {
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }

2.3 Signature

  • 使用 Header 中指定的算法对 Header 和 Payload 进行签名,确保令牌未被篡改。
  • 示例
    1
    2
    3
    4
    HMACSHA256(
      base64UrlEncode(header) + "." + base64UrlEncode(payload),
      secret
    )

3. JWT 的优势

JWT 具有以下显著优势:

3.1 无状态(Stateless)

  • JWT 包含了所有必要的信息,服务器无需存储会话状态,适合分布式系统和微服务架构。

3.2 跨域支持(Cross-Domain)

  • JWT 可以通过 URL、Header 或 POST 参数传输,适合跨域场景(如单点登录)。

3.3 自包含(Self-Contained)

  • JWT 的 Payload 可以包含用户信息和其他数据,减少对数据库的查询。

3.4 安全性

  • JWT 可以签名(防止篡改)或加密(防止信息泄露),确保数据的安全性。

3.5 灵活性

  • JWT 支持多种签名算法(如 HMAC、RSA、ECDSA),适应不同的安全需求。

3.6 易于扩展

  • JWT 的 Payload 可以自定义声明,满足不同的业务需求。

4. JWT 的工作流程

以下是 JWT 在身份验证中的典型工作流程:

  1. 用户登录:客户端发送用户名和密码到服务器。
  2. 生成 JWT:服务器验证用户信息,生成 JWT 并返回给客户端。
  3. 存储 JWT:客户端将 JWT 存储在本地(如 LocalStorage 或 Cookie)。
  4. 发送 JWT:客户端在后续请求中携带 JWT(通常放在 Authorization 头中)。
  5. 验证 JWT:服务器验证 JWT 的签名和有效期,确认用户身份。
  6. 返回数据:服务器根据 JWT 中的信息返回请求的数据。

5. JWT 的注意事项

尽管 JWT 有很多优势,但在使用时需要注意以下问题:

5.1 安全性

  • 敏感信息:不要在 JWT 中存储敏感信息(如密码),因为 Payload 只是 Base64 编码,可以被解码。
  • 签名算法:使用强签名算法(如 HS256 或 RS256),避免使用 none 算法。
  • 密钥管理:妥善保管签名密钥,防止泄露。

5.2 有效期

  • 设置合理的过期时间(exp),避免 JWT 被长期滥用。
  • 使用刷新令牌(Refresh Token)机制,延长用户会话。

5.3 存储方式

  • 避免将 JWT 存储在 LocalStorage 中,容易被 XSS 攻击窃取。
  • 建议将 JWT 存储在 HttpOnly Cookie 中,防止 JavaScript 访问。

6. JWT 的示例代码

以下是一个简单的 JWT 生成和验证示例(使用 Node.js 和 jsonwebtoken 库):

生成 JWT

1
2
3
4
5
6
7
const jwt = require('jsonwebtoken');

const payload = { userId: 123, username: 'john' };
const secret = 'mysecretkey';
const token = jwt.sign(payload, secret, { expiresIn: '1h' });

console.log('Generated JWT:', token);

验证 JWT

1
2
3
4
5
6
7
8
9
10
11
12
const jwt = require('jsonwebtoken');

const token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...';
const secret = 'mysecretkey';

jwt.verify(token, secret, (err, decoded) => {
  if (err) {
    console.error('Invalid JWT:', err.message);
  } else {
    console.log('Decoded JWT:', decoded);
  }
});

总结

JWT 是一种强大的工具,广泛用于身份验证和信息交换。它的无状态、自包含和跨域支持等特性使其成为现代 Web 应用和分布式系统的理想选择。然而,使用时需要注意安全性、有效期和存储方式等问题。如果您有更多关于 JWT 的问题或需要进一步的帮助,请随时告诉我!