August Rush

在项目开发中，一般会按照上图所示的过程进行认证，即：用户登录成功之后，服务端给用户浏览器返回一个token，以后用户浏览器要携带token再去向服务端发送请求，服务端校验token的合法性，合法则给用户看数据，否则，返回一些错误信息。

什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

传统token方式和jwt在认证方面有什么差异？

• 传统token方式

用户登录成功后，服务端生成一个随机token给用户，并且在服务端(数据库或缓存)中保存一份token，以后用户再来访问时需携带token，服务端接收到token之后，去数据库或缓存中进行校验token的是否超时、是否合法。

• jwt方式

用户登录成功后，服务端通过jwt生成一个随机token给用户（服务端无需保留token），以后用户再来访问时需携带token，服务端接收到token之后，通过jwt对token进行校验是否超时、是否合法。

JWT的构成

JWT是由三段信息构成的，将这三段信息文本用.链接一起就构成了jwt字符串。

例如：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

header

固定包含算法和token类型，对此json进行base64url加密。

{
  "typ": "JWT",  // 声明类型
  "alg": "HS256" // 声明加密的算法
}

然后将头部进行base64加密（该加密是可以对称解密的），构成了第一部分。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload

载荷就是存放有效信息的地方。包含一些数据，这些信息包含三个部分

• 标准中注册的声明
• 公共的声明
• 私有的声明

标准中注册的声明（建议但不强制使用）：

• iss：jwt签发者
• sub：jwt所面向的用户
• aud：接收jwt的一方
• exp：jwt的过期时间，这个过期时间必须要大于签发时间
• nbf：定义在什么时间之前，该jwt都是不可用的
• iat：jwt的签发时间
• jti：jwt的唯一身份标识，主要用来作为一次性token，从而回避重放攻击。

公共的声明：

公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息。但不建议添加敏感信息，因为该部分在客户端可解密。

私有的声明：

私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

例如：

{
  "sub": "123456",
  "username": "august",
  "password": "123"
}

signature

把前两段的base密文通过.拼接起来，然后对其进行HS256加密，再然后对HS256密文进行base64url加密，最终得到token的第三段。

// javascript
var encodedString = base64UrlEncode(header) + '.' + base64UrlEncode(payload);

var signature = HMACSHA256(encodedString, 'secret'); // TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

最后将三段字符串通过.拼接起来就生成了jwt的token。

secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流露出去。一旦客户端得知了secret，那就意味着客户端是可以自我签发jwt了。

JWT认证流程

JWT创建token

基于Python的pyjwt模块创建jwt的token

• 安装

pip3 isntall pyjwt

• 实现

import jwt
import datetime
from jwt import exceptions

SALT = 'iv%x6xo7l7_u9bf_u!9#g#m*)*=ej@bek5)(@u3kh*72+unjv='

def create_token():
  # 构造header
  headers = {
    'type': 'jwt',
    'alg': 'HS256'
  }

  # 构造payload
  payload = {
    'user_id': 1
    'username': 'augustrush',
    'password': '123456',
    'exp': datetime.datetime.utcnow() + datetime.timedelta(minutes=5) # 超时时间
  }

  result = jwt.encode(payload=payload, key=SALT, algorithm="HS256", headers=headers)
  return result

JWT校验token

一般在认证成功后，把jwt生成的token返回给用户，以后用户再次访问时需要携带token，此时jwt需要对token进行超时及合法性校验。

获取token之后，会按照以下步骤进行校验：

• 将token分割成header_segment、payload_segment、crypto_segment三部分
• 对第一部分header_segment进行base64url解密，得到header
• 对第二部分payload_segment进行base64url解密，得到payload
• 对第三部分crypto_segment进行进行base64url解密，得到signature
• 对第三部分signature部分数据进行合法性校验
  • 拼接前两段密文，即：signing_input
  • 从第一段明文中获取加密算法，默认：HS256
  • 使用 算法+盐对signing_input进行解密，将得到的结果和signature密文进行比较。

import jwt
import datetime
from jwt import exceptions

def get_payload(token):
  try:
    # 从token中获取payload
    verified_payload = jwt.decode(jwt=token, key=SALT, algorithms=['HS256'], verify_signature=True)
    return verified_payload
  except exceptions.ExpiredSignatureError:
    print('token已失效')
  except jwt.DecodeError:
    print('token认证失败')
  except jwt.InvalidTokenError:
    print('非法的token')

JWT应用

Django案例

在用户登录成功之后，生成token并返回，用户再次来访问时需携带token。

此示例内部编写了两个视图通过两种方式传递token。

• url传参

127.0.0.1:8000/order/?token=eyJ0eXAiOiJqd3QiLCJhbGciOiJIUz...

• Authorization请求头

GET /center/ HTTP/1.1
Authorization: JWT eyJhbGciOiAiSFMyNTYiLCAidHlwIj...

源代码示例

Django rest framework案例

在用户登录成功之后，生成token并返回，用户再次来访问时需要携带token。

此实例在drf的认证组件中对token进行校验，内部编写了两个认证组件来支持用户通过两种方式传递token。

源代码示例

总结

优点

• 因为json的通用性，所以JWT是可以进行跨语言支持的，像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用。
• 因为有了payload部分，所以JWT可以在自身存储一些其他业务逻辑所必要的非敏感信息。
• 便于传输，jwt的构成非常简单，字节占用很小，所以它是非常便于传输的。
• 它不需要在服务端保存会话信息, 所以它易于应用的扩展

安全相关

• 不应该在jwt的payload部分存放敏感信息，因为该部分是客户端可解密的部分。
• 保护好secret私钥，该私钥非常重要。
• 如果可以，请使用https协议