Django

Json web token (jwt) 身份验证

简介:JWT是基于token的身份认证的方案。 json web token全称。可以保证安全传输的前提下传送一些基本的信息,以减轻对外部存储的依赖,减少了分布式组件的依赖,减少了硬件的资源。

JSON Web Token是什么?

JWT是基于token的身份认证的方案。

Json web token全称。可以保证安全传输的前提下传送一些基本的信息,以减轻对外部存储的依赖,减少了分布式组件的依赖,减少了硬件的资源。

可实现无状态、分布式的Web应用授权,jwt的安全特性保证了token的不可伪造和不可篡改。

本质上是一个独立的身份验证令牌,可以包含用户标识、用户角色和权限等信息,以及您可以存储任何其他信息(自包含)。任何人都可以轻松读取和解析,并使用密钥来验证真实性。

使用JSON Web Token的好处

  • 性能问题。
    JWT方式将用户状态分散到了客户端中,相比于session,可以明显减轻服务端的内存压力。
    Session方式存储用户id的最大弊病在于Session是存储在服务器端的,所以需要占用大量服务器内存,
    对于较大型应用而言可能还要保存许多的状态,一般还需借助nosql和缓存机制来实现session的存储,如果是分布式应用还需session共享。

  • 单点登录。
    JWT能轻松的实现单点登录,因为用户的状态已经被传送到了客户端。
    token 可保存自定义信息,如用户基本信息,web服务器用key去解析token,就获取到请求用户的信息了。
    我们也可以配置它以便包含用户拥有的任何权限。这意味着每个服务不需要与授权服务交互才能授权用户。

  • 前后端分离。
    以前的传统模式下,后台对应的客户端就是浏览器,就可以使用session+cookies的方式实现登录,
    但是在前后分离的情况下,后端只负责通过暴露的RestApi提供数据,而页面的渲染、路由都由前端完成。因为rest是无状态的,因此也就不会有session记录到服务器端。

  • 兼容性。
    支持移动设备,支持跨程序调用,Cookie 是不允许垮域访问的,而 Token 则不存在这个问题。

  • 可拓展性。
    jwt是无状态的,特别适用于分布式站点的单点登录(SSO)场景。
    比如有3台机器(A、B、C)组成服务器集群,若session存在机器A上,session只能保存在其中一台服务器,此时你便不能访问机器B、C,因为B、C上没有存放该Session,
    而使用token就能够验证用户请求合法性,并且我再加几台机器也没事,所以可拓展性好。

  • 安全性。因为有签名,所以JWT可以防止被篡改。

使用JSON Web Token的缺陷

  • JWT在生成token的时候支持失效时间,但是支持的失效时间是固定的,比如说一天。
    但是用户在等出的时候是随机触发的,那么我们jwt token来做这个失效是不可行的,因为jwt在初始化的时候已经定死在什么时候过期了。
    采用其他方案,在redis中存储token,设置token的过期时间,每次鉴权的时候都会去延长时间

  • jwt不适合存放大量信息,信息越多token越长

JWT的身份验证:

使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:

1、客户端使用用户名跟密码请求登录
2、服务端收到请求,去验证用户名与密码
3、验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
4、客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
5、客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
6、服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
996415-20180508211918539-89111957.png

JWT的组成

实施 Token 验证的方法挺多的,还有一些标准方法,比如 JWT,读作:jot ,表示:JSON Web Tokens 。

JWT 标准的 Token 有三个部分:
- header(头部)
由JWT头部信息header加密得到

{ 
“alg”: “HS256”, 
“typ”: “JWT” 
} 

alg描述的是签名算法。默认值是HS256。
将header用base64加密,得到header。

  • payload(载荷)
    由JWT用到的身份验证信息json数据加密得到

    { 
    “iss”: “发行者”, 
    “sub”: 主题”, 
    “aud”: “观众”, 
    “exp”:”过期时间”, 
    “iat”:”签发时间” 
    以下可以添加自定义数据 
    “id”:”1”, 
    “nickname”:”昵称” 
    } 
    

    据JWT claim set 用[base64]加密得到的。claim set是一个json数据,是表明用户身份的数据,可自行指定字段很灵活,也有固定字段表示特定含义(但不一定要包含特定字段,只是推荐)。
    Base64算法是可逆的,不可以在载荷部分保存用户密码等敏感信息。如果业务需要,也可以采用对称密钥加密。

  • signature(签名)
    由header和payload加密得到,是校验部分
    HMACSHA256(Base64(Header) + “.” + Base64(Payload), secret),secret是加密的盐。
    签名的目的是用来验证头部和载荷是否被非法篡改。
    验签过程描述:获取token值,读取Header部分并Base64解码,得到签名算法。根据以上方法算出签名,如果签名信息不一致,说明是非法的。

推荐阅读

目录