JSON Web Token(JWT)的詳解
阿新 • • 發佈:2018-12-09
1、傳統身份驗證和JWT的身份驗證
傳統身份驗證:
HTTP 是一種沒有狀態的協議,也就是它並不知道是誰是訪問應用。這裡我們把使用者看成是客戶端,客戶端使用使用者名稱還有密碼通過了身份驗證,不過下回這個客戶端再發送請求時候,還得再驗證一下。 解決的方法就是,當用戶請求登入的時候,如果沒有問題,我們在服務端生成一條記錄,這個記錄裡可以說明一下登入的使用者是誰,然後把這條記錄的 ID 號傳送給客戶端,客戶端收到以後把這個 ID 號儲存在 Cookie 裡,下次這個使用者再向服務端傳送請求的時候,可以帶著這個 Cookie ,這樣服務端會驗證一個這個 Cookie 裡的資訊,看看能不能在服務端這裡找到對應的記錄,如果可以,說明使用者已經通過了身份驗證,就把使用者請求的資料返回給客戶端。 上面說的就是 Session,我們需要在服務端儲存為登入的使用者生成的 Session ,這些 Session 可能會儲存在記憶體,磁碟,或者資料庫裡。我們可能需要在服務端定期的去清理過期的 Session 。
安裝:
pip install djangorestframework_jwt
JWT的身份驗證:
使用基於 Token 的身份驗證方法,在服務端不需要儲存使用者的登入記錄。大概的流程是這樣的:
1、客戶端使用使用者名稱跟密碼請求登入
2、服務端收到請求,去驗證使用者名稱與密碼
3、驗證成功後,服務端會簽發一個 Token,再把這個 Token 傳送給客戶端
4、客戶端收到 Token 以後可以把它儲存起來,比如放在 Cookie 裡或者 Local Storage 裡
5、客戶端每次向服務端請求資源的時候需要帶著服務端簽發的 Token
6、服務端收到請求,然後去驗證客戶端請求裡面帶著的 Token,如果驗證成功,就向客戶端返回請求的資料
2、JWT的token組成
實施 Token 驗證的方法挺多的,還有一些標準方法,比如 JWT,讀作:jot ,表示:JSON Web Tokens 。
JWT 標準的 Token 有三個部分:
header(頭部)
payload(資料)
signature(簽名)
中間用點分隔開,並且都會使用 Base64 編碼,所以真正的 Token 看起來像這樣:
eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
頭部:
每個 JWT token 裡面都有一個 header,也就是頭部資料。裡面包含了使用的演算法,這個 JWT 是不是帶簽名的或者加密的。主要就是說明一下怎麼處理這個 JWT token 。
頭部裡包含的東西可能會根據 JWT 的型別有所變化,比如一個加密的 JWT 裡面要包含使用的加密的演算法。唯一在頭部裡面要包含的是 alg 這個屬性,如果是加密的 JWT,這個屬性的值就是使用的簽名或者解密用的演算法。如果是未加密的 JWT,這個屬性的值要設定成 none。
示例:
意思是這個 JWT 用的演算法是 HS256。上面的內容得用 base64url 的形式編碼一下,所以就變成這樣:
Payload:
Payload 裡面是 Token 的具體內容,這些內容裡面有一些是標準欄位,你也可以新增其它需要的內容。下面是標準欄位:
-
iss:Issuer,發行者
-
sub:Subject,主題
-
aud:Audience,觀眾
-
exp:Expiration time,過期時間
-
nbf:Not before
-
iat:Issued at,發行時間
-
jti:JWT ID
比如下面這個 Payload ,用到了 iss 發行人,還有 exp 過期時間這兩個標準欄位。另外還有兩個自定義的欄位,一個是 name ,還有一個是 admin 。
使用 base64url 編碼以後就變成了這個樣子:
Signature:
JWT 的最後一部分是 Signature ,這部分內容有三個部分,先是用 Base64 編碼的 header.payload ,再用加密演算法加密一下,加密的時候要放進去一個 Secret ,這個相當於是一個密碼,這個密碼祕密地儲存在服務端。
-
header
-
payload
-
secret
處理完成以後看起來像這樣:
最後這個在服務端生成並且要傳送給客戶端的 Token 看起來像這樣:
