摘要:當(dāng)達到過期時間時�,需要對進行續(xù)簽,可以定時想服務(wù)器提交請求�,重新獲取來實現(xiàn)。注銷問題注銷問題當(dāng)客戶登錄的時候����,需要注銷登錄會話,由于是沒有狀態(tài)的�����,只能在客戶端把刪除,偽造一個注銷的狀態(tài)�����,真正的注銷只能等待過期���。
JSON WEB TOKEN(JWT)的分析
一般情況下,客戶的會話數(shù)據(jù)會存在文件中��,或者引入redis來存儲����,實現(xiàn)session的管理,但是這樣操作會存在一些問題���,使用文件來存儲的時候�����,在多臺機器上����,比較難實現(xiàn)共享,使用redis來存儲的時候�����,則需要引入多一個集群����,這樣會增加管理的工作量,也不方便���。有一個直觀的辦法�,就是將session數(shù)據(jù)����,存儲在客戶端中,使用簽名校驗數(shù)據(jù)是否有篡改�����,客戶請求的時候��,把session數(shù)據(jù)帶上�,獲取里面的數(shù)據(jù),通過校驗�����,然后進行身份認證。
數(shù)據(jù)存儲在客戶端中���,會存在一些挑戰(zhàn):
- 數(shù)據(jù)安全問題
- 數(shù)據(jù)量不能太大
- 續(xù)簽的問題
- 注銷的問題
為了實現(xiàn)客戶端存儲會話數(shù)據(jù)的解決方案�,制定了JSON Web Token的協(xié)議���,詳細的協(xié)議可以在:RFC7529查看。下面我們看看jwt協(xié)議是怎樣解決上面的挑戰(zhàn)的���。
JWT的結(jié)構(gòu):
JWT加密后���,使用的格式,分為三部分���,header�����,payload和signature����,使用.號連接起來:
Header.Payload.Signature
JWT的header,定義了存儲的算法和協(xié)議名稱:
{
"alg": "HS256",
"typ": "JWT"
}
JWT的Payload:
下面這些負載字段���,是JWT協(xié)議提供選用���,一般情況下,payload的數(shù)據(jù)是不加密存儲在客戶端中的���,所以要注意不要存儲敏感信息:
iss (issuer):簽發(fā)人
exp (expiration time):過期時間
sub (subject):主題
aud (audience):受眾
nbf (Not Before):生效時間
iat (Issued At):簽發(fā)時間
jti (JWT ID):編號
payload除了這些字段�����,還可以擴展一些數(shù)據(jù)�,更加符合我們的需求:
{
"iss": "foo",
"extend_data": "hell"
}
JWT的Signature
服務(wù)端����,有一個秘鑰,通過秘鑰對header和payload進行簽名�,使用header中指定的簽名算法類型,一般有HMAC����,RSA和ECDSA,下面是簽名的格式:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
JWT的通訊方式
JWT一般會將token數(shù)據(jù)存儲在http請求的header中��,通過Bearer來分隔:
headers: {
"Authorization": "Bearer " + token
}
定義好數(shù)據(jù)結(jié)構(gòu)和通訊方式,下面看看如何處理一些問題:
續(xù)簽問題
每一個token產(chǎn)生�����,都應(yīng)該限制好過期時間���,確保只能在一段時間內(nèi)有效��,保證安全��。當(dāng)達到過期時間時�����,需要對token進行續(xù)簽,可以定時想服務(wù)器提交請求�,重新獲取token來實現(xiàn)。
注銷問題
當(dāng)客戶登錄的時候���,需要注銷登錄會話��,由于token是沒有狀態(tài)的���,只能在客戶端把token刪除�����,偽造一個注銷的狀態(tài)����,真正的注銷只能等待token過期�����。
也可以有種辦法���,就是把token的信息記錄在redis中��,當(dāng)客戶退出時�����,講redis中的token刪除��,而一般請求時�����,會通過redis對數(shù)據(jù)進行校驗�����,這樣可以實現(xiàn)真的注銷效果����,但要引入多一個組件,把token變?yōu)橛袪顟B(tài)���,如果用這種辦法�����,也就不符合token存儲在客戶端的模式了
總結(jié)
如果能夠支持�����,會話用的數(shù)據(jù)量較小,對注銷可以等待超時的長效的場景��,使用jwt作為會話數(shù)據(jù)存儲是會比較方便的���。而對于會話數(shù)據(jù)量大的場景��,還是使用一般的方式比較好點�。
參考資料
RFC7529
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/1240.html
