官方网站:https://jwt.io/
JWT(JSON Web Token)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。
组成
一个JWT由3个部分组成:头部(header)、载荷(payload)、签名(signature)。
这三个部分又是由一个分隔符“.” 分割开的。
header
用户说明签名的加密算法等,大概如下:
{
'alg': "HS256",
'typ': "JWT"
}
payload
payload(载荷) 就是自定义的数据,结构是一个json或者说是map对象
目前有一个相对标准的payload格式
- sub(subject): 该JWT所面向的用户,可以放登录的用户名等。
- iss(issuer): 该JWT的签发者。
- aud(audience): 该jwt接收者
- iat(issued at): 该jwt的签发时间
- exp(expires): 该jwt的过期时间,过期时间必须要大于签发时间
- nbf(not before):生效时间,token在此时间之前不能被接收处理
- jti(JWT ID)::JWT ID为web token提供唯一标识
当然你也可以不用这些字段,可以自己随意定义。
注意:在载荷里面不应该加入任何敏感的数据,因为它直接可以通过Base64就能进行解码了。
signature
签名过程:
1.头部和载荷各自base64加密后用.连接起来,然后就形成了xxx.xx的前两段token。
2.最后一段token的形成是,前两段加入一个密匙用HS256算法或者其他算法加密形成。
签名作用:
服务器应用在接受到JWT后,会首先对头部和载荷的内容用同一算法再次签名,如果服务器应用对头部和载荷再次以同样方法签名之后发现,自己计算出来的签名和接受到的签名不一样,那么就说明这个Token的内容被篡改过了,应该拒绝这个Token,。
[
](https://blog.csdn.net/weixin_42030357/article/details/95629924)
优缺点
优点:
- 可以减少请求数据库的次数,不需要每次数据接口请求都去访问数据库验证用户的有效性。
- 可以设置过期时间,在payload中有一个字段叫exp。这个字段可以设置过期时间,如果服务端发现过期则需要中心登录或者验证身份。
- 在荷载(payload)中其实是可以作为客户端服务器端的信息交换,但是一般不会用这样的操作
服务器不保存session状态,更适合分布式的系统构建。每个请求不用通过hash打到固定的机器上。
缺点:
因为服务器不保存状态,jwt状态是游离状态那么服务器就不能主动的注销。在到期之前这个token始终有效。一般的解决方法则是使用redis记录token,每次请求判断下如果redis中不存在则过期或者不合法。
- JWT中的秘钥一旦被泄漏出去,那么任何人都可以冒充别人请求数据了。
作用
Authorization (授权) :
一旦用户登录,后续每个请求都将包含JWT,允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性,因为它的开销很小,并且可以轻松地跨域使用。
Information Exchange (信息交换) :
对于安全的在各方之间传输信息而言,JSON Web Tokens无疑是一种很好的方式。因为JWT可以被签名,例如,用公钥/私钥对,你可以确定发送人就是它们所说的那个人。另外,由于签名是使用头和有效负载计算的,您还可以验证内容没有被篡改。
go jwt
// token结构
type Token struct {
Raw string // 保存原始token解析的时候保存
Method SigningMethod // 保存签名方法 目前库里有HMAC RSA ECDSA
Header map[string]interface{} // jwt中的头部
Claims Claims // jwt中第二部分荷载,Claims是一个借口
Signature string // jwt中的第三部分 签名
Valid bool // 记录token是否正确
}
type Claims interface {
Valid() error
}
// 签名方法 所有的签名方法都会实现这个接口
// 具体可以参考https://github.com/dgrijalva/jwt-go/blob/master/hmac.go
type SigningMethod interface {
// 验证token的签名,如果有限返回nil
Verify(signingString, signature string, key interface{}) error
// 签名方法 接受头部和荷载编码过后的字符串和签名秘钥
// 在hmac中key必须是Key must be []byte
// 在rsa中key 必须是*rsa.PrivateKey 对象
Sign(signingString string, key interface{}) (string, error)
// 返回加密方法的名字 比如'HS256'
Alg() string
}
// 新建token
func New(method SigningMethod) *Token {
return NewWithClaims(method, MapClaims{})
}
func NewWithClaims(method SigningMethod, claims Claims) *Token {
// 组成token
return &Token{
Header: map[string]interface{}{
"typ": "JWT",
"alg": method.Alg(),
},
Claims: claims,
Method: method,
}
}
签名创建
// 传入 key 返回token或者error
func (t *Token) SignedString(key interface{}) (string, error) {
var sig, sstr string
var err error
// 生成jwt的前两部分string
if sstr, err = t.SigningString(); err != nil {
return "", err
}
// 根据不同的签名method 生成签名字符串
if sig, err = t.Method.Sign(sstr, key); err != nil {
return "", err
}
return strings.Join([]string{sstr, sig}, "."), nil
}
// 生成jwt的头部和荷载的string
func (t *Token) SigningString() (string, error) {
var err error
parts := make([]string, 2)
// 创建一个字符串数组
for i, _ := range parts {
var jsonValue []byte
if i == 0 {
// 把header部分转成[]byte
if jsonValue, err = json.Marshal(t.Header); err != nil {
return "", err
}
} else {
// 把荷载部分部转成[]byte
if jsonValue, err = json.Marshal(t.Claims); err != nil {
return "", err
}
}
// 为签名编码
parts[i] = EncodeSegment(jsonValue)
}
// 用'.'号拼接两部分然后返回
return strings.Join(parts, "."), nil
}
校验签名
// 解析方法的回调函数 方法返回秘钥 可以根据不同的判断返回不同的秘钥
type Keyfunc func(*Token) (interface{}, error)
func Parse(tokenString string, keyFunc Keyfunc) (*Token, error) {
return new(Parser).Parse(tokenString, keyFunc)
}
func ParseWithClaims(tokenString string, claims Claims, keyFunc Keyfunc) (*Token, error) {
return new(Parser).ParseWithClaims(tokenString, claims, keyFunc)
}
func (p *Parser) ParseWithClaims(tokenString string, claims Claims, keyFunc Keyfunc) (*Token, error) {
// 解析tokenstring 根据'.' 风格之后用base64反编码之后组成 token对象
token, parts, err := p.ParseUnverified(tokenString, claims)
if err != nil {
return token, err
}
// 判断parse里的validmethods 是否为空 不为空则循环调用
if p.ValidMethods != nil {
var signingMethodValid = false
var alg = token.Method.Alg()
for _, m := range p.ValidMethods {
if m == alg {
signingMethodValid = true
break
}
}
if !signingMethodValid {
// signing method is not in the listed set
return token, NewValidationError(fmt.Sprintf("signing method %v is invalid", alg), ValidationErrorSignatureInvalid)
}
}
// 调用keyfunc 返回秘钥 方法从之前的调用注入的方法
var key interface{}
if keyFunc == nil {
// keyFunc was not provided. short circuiting validation
return token, NewValidationError("no Keyfunc was provided.", ValidationErrorUnverifiable)
}
if key, err = keyFunc(token); err != nil {
// keyFunc returned an error
if ve, ok := err.(*ValidationError); ok {
return token, ve
}
return token, &ValidationError{Inner: err, Errors: ValidationErrorUnverifiable}
}
vErr := &ValidationError{}
// 判断是否需要验证claims
if !p.SkipClaimsValidation {
// valid 方法中会判断 过期时间、签发人、生效时间 如果没有这3个字段则不判断
if err := token.Claims.Valid(); err != nil {
if e, ok := err.(*ValidationError); !ok {
vErr = &ValidationError{Inner: err, Errors: ValidationErrorClaimsInvalid}
} else {
vErr = e
}
}
}
// 验证jwt中第三部分 签名 调用的是签名方法定义的verify方法
token.Signature = parts[2]
if err = token.Method.Verify(strings.Join(parts[0:2], "."), token.Signature, key); err != nil {
vErr.Inner = err
vErr.Errors |= ValidationErrorSignatureInvalid
}
// 设置valid字段
if vErr.valid() {
token.Valid = true
return token, nil
}
return token, vErr
}