什么是 JWT
JSON Web Token (JWT) 是一个开放标准(RFC 7519),它定义了一种紧凑且自包含的方式,用于将信息作为 JSON 对象安全地在各方之间传输信息。此信息可以验证和信任,因为它是数字签名。JWT 可以使用密钥(使用HMAC算法)或使用 RSA 或 ECDSA 进行公钥/私钥对进行签名。
虽然可以加密 JWT 以在各方之间提供保密性,但我们将重点介绍已签名的令牌。签名令牌可以验证其中包含声明的完整性,而加密令牌则隐藏其他方声明。当使用公钥/私钥对对签名令牌时,签名还证明只有持有私钥的一方才是签名者。
JWT 的使用场景
授权
这是使用 JWT 的最常见方案。用户登录后,每个后续请求都将包括 JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销小,并且能够轻松地跨不同的域使用。
信息交换
JSON 网络令牌是各方之间安全传输信息的一种好方式。由于可以对JWT进行签名(例如,使用公钥/私钥对)可以确定发件人就是他们说的。此外,由于使用标头和有效负载计算签名,您还可以验证内容是否未被篡改。
JWT 结构
JSON Web 令牌以紧凑的形式由三个部分组成,由点(.)分隔,它们包括:
- Header
- Payload
- Signature
因此,JWT的格式通常如下所示。
xxxxx.yyyyy.zzzzz
Header
标头通常由两部分组成:token的类型(即 JWT)和正在使用的签名算法,如 HMAC SHA256 或 RSA。
例如:
{
"alg": "HS256",
"typ": "JWT"
}
然后,此 JSON编码为 Base64Url,以形成 JWT 的第一部分。
Payload
token的第二部分是有效负载,其中包含claims。claims是关于实体(通常为用户)和其他数据的语句。有三种类型的claims,如下:
| 名称 | 含义 |
|---|---|
| Registered claims | 这些是一组预定义声明,不是强制性的,但建议提供一组有用的、可互操作的索赔。其中一些是:iss(发行人)、exp(到期时间)、sub(主题)、aud(访问者)和其他。 |
| Public claims | 这些可以由使用JWT的人可以当即定义。但是,为了避免冲突,应在IANA JSON Web 令牌注册表中定义它们,或定义为包含抗冲突命名空间的 URI。 |
| Private claims | 这些是为在同意使用它们的各方之间共享信息而创建的自定义声明,它们既不是registered claims,也不是public claims。 |
示例有效负载可能是:
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
然后对有效负载进行 Base64Url编码,以形成 JSON Web 令牌的第二部分。
请注意,对于已签名的token,此信息虽然可防止篡改,但任何人都可以阅读。除非对 JWT 进行加密,否则不要将机密信息放在 JWT 的有效负载或标头元素中。
Signature
要创建签名部分,您必须使用编码标头、编码有效负载、机密、标头中指定的算法,并签名。
例如,如果要使用 HMAC SHA256 算法,将采用以下方式创建签名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
签名用于验证信息在传输过程中不被篡改,对于使用私钥签名的token,它还可以验证 JWT 的发件人是否为它所说的发件人。
放在一起
输出是三个 Base64-URL 字符串,由点分隔,这些点可以在 HTML 和 HTTP 环境中轻松传递,但与基于 XML 的标准(如 SAML)相比,更紧凑。
下面显示了一个 JWT,它具有以前的标头和有效负载编码,并且它使用机密进行签名。Encoded JWT
如果要使用 JWT 并付诸实践,可以使用 jwt.io器解码、验证和生成 JWT。