国产xxxx99真实实拍_久久不雅视频_高清韩国a级特黄毛片_嗯老师别我我受不了了小说

資訊專欄INFORMATION COLUMN

帶你弄懂JWT原理

animabear / 703人閱讀

摘要:的組成一個實際上就是一個字符串,它由三部分組成,頭部載荷與簽名。這個字符串我們將它稱作的載荷。注意是一種編碼,它是可以被翻譯回原來的樣子來的。這也可以被表示成一個對象。

JSON Web Token(JWT)是一個非常輕巧的規(guī)范。這個規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。

讓我們來假想一下一個場景。在A用戶關(guān)注了B用戶的時候,系統(tǒng)發(fā)郵件給B用戶,并且附有一個鏈接“點此關(guān)注A用戶”。鏈接的地址可以是這樣的

https://your.app.com/make-friend/?from_user=B&target_user=A

上面的URL主要通過URL來描述這個當(dāng)然這樣做有一個弊端,那就是要求用戶B用戶是一定要先登錄的。可不可以簡化這個流程,讓B用戶不用登錄就可以完成這個操作。JWT就允許我們做到這點。

JWT的組成

一個JWT實際上就是一個字符串,它由三部分組成,頭部載荷簽名

{

? "iss": "John Wu JWT",

? "iat": 1441593502,

? "exp": 1441594722,

? "aud": "www.example.com,

? "sub": "kevin@example.com",

? "from_user": "B",

? "target_user": "A"

}

這里面的前五個字段都是由JWT的標(biāo)準(zhǔn)所定義的。

iss: 該JWT的簽發(fā)者

sub: 該JWT所面向的用戶

aud: 接收該JWT的一方

exp(expires): 什么時候過期,這里是一個Unix時間戳

iat(issued at): 在什么時候簽發(fā)的

這些定義都可以在標(biāo)準(zhǔn)中找到。

將上面的JSON對象進行[base64編碼]可以得到下面的字符串。這個字符串我們將它稱作JWT的Payload(載荷)。

eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
注意:base64是一種編碼,它是可以被翻譯回原來的樣子來的。它并不是一種加密過程。
頭部(Header)

JWT還需要一個頭部,頭部用于描述關(guān)于該JWT的最基本的信息,例如其類型以及簽名所用的算法等。這也可以被表示成一個JSON對象。

{

"typ": "JWT",

"alg": "HS256"

}

在這里,我們說明了這是一個JWT,并且我們所用的簽名算法(后面會提到)是HS256算法。

對它也要進行Base64編碼,之后的字符串就成了JWT的Header(頭部)。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
簽名(簽名)

將上面的兩個編碼后的字符串都用句號.連接在一起(頭部在前),就形成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

最后,我們將上面拼接完的字符串($input)用HS256算法($algo)進行加密。在加密的時候,我們還需要提供一個密鑰($secret)。比方我們使用字符串mySecret作為密鑰的話,那么就可以通過下面的方法得到我們加密后的內(nèi)容作為JWT的簽名:

hash_hmac($algo, $input, $secret);// output: rSWamyAYwuHCo7IFAgd1oRpùSP7nzL7BF5t7ItqpKViM

最后將這一部分簽名也拼接在被簽名的字符串后面,我們就得到了完整的JWT:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

于是,我們就可以將郵件中的URL改成

https://your.app.com/make-fri...

這樣服務(wù)端驗證完JWT的簽名沒問題后就可以完成B用戶添加A用戶為好友的操作而不在需要用戶再進行登錄啦。

看到這里你應(yīng)該會有兩個疑問

簽名的目的是什么?

Base64是一種編碼,是可逆的,那么我的信息不就被暴露了嗎?

簽名的目的

最后一步簽名的過程,實際上是對頭部以及載荷內(nèi)容進行簽名。一般而言,加密算法對于不同的輸入產(chǎn)生的輸出總是不一樣的。對于兩個不同的輸入,產(chǎn)生同樣的輸出的概率極其地小。

所以,如果有人對頭部以及載荷的內(nèi)容解碼之后進行修改,再進行編碼的話,那么新的頭部和載荷的簽名和之前的簽名就將是不一樣的。而且,如果不知道服務(wù)器加密的時候用的密鑰的話,得出來的簽名也一定會是不一樣的。

服務(wù)器應(yīng)用在接收到JWT后,會首先對頭部和載荷的內(nèi)容用同一算法再次簽名。那么服務(wù)器應(yīng)用是怎么知道我們用的是哪一種算法呢?別忘了,我們在JWT的頭部中已經(jīng)用alg字段指明了我們的加密算法了。

如果服務(wù)器應(yīng)用對頭部和載荷再次以同樣方法簽名之后發(fā)現(xiàn),自己計算出來的簽名和接受到的簽名不一樣,那么就說明這個Token的內(nèi)容被別人動過的,我們應(yīng)該拒絕這個Token,返回一個HTTP 401 Unauthorized響應(yīng)。

關(guān)于兩個簽名的推薦用PHP中內(nèi)建函數(shù)hash_equals來幫我們完成

hash_equals ( string $known_string , string $user_string ) : bool

比較兩個字符串,無論它們是否相等,本函數(shù)的時間消耗是恒定的。

本函數(shù)可以用在需要防止時序攻擊的字符串比較場景中, 例如,可以用在比較 crypt() 密碼哈希值的場景。

信息會暴露

JWT荷載和頭部中的信息都可以通過base64解碼拿到,所以在JWT中,不應(yīng)該在載荷里面加入任何敏感的數(shù)據(jù)。在上面的例子中,我們傳輸?shù)氖怯脩舻腢ser ID。這個值實際上不是什么敏感內(nèi)容,一般情況下被知道也是安全的。像密碼這樣的內(nèi)容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中,那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。

JWT的適用場景

我們可以看到,JWT適合用于向Web應(yīng)用傳遞一些非敏感信息。例如在上面提到的完成加好友的操作,還有就是

JWT還經(jīng)常用于設(shè)計用戶認(rèn)證和授權(quán)系統(tǒng),尤其是現(xiàn)在前后端分離開發(fā)架構(gòu)下,用戶登錄成功后將攜帶著用戶標(biāo)示和登錄時間、站點等信息的JWT給到前端,前端在API請求的HEADER頭中攜帶JWT,服務(wù)端驗證完JWT的合法性后就能通過用戶標(biāo)示找到本次API請求所屬的用戶。

之前用PHP寫了一個非常簡陋的生成和校驗JWT的程序,可以拿來參考,代碼放到gist上了https://gist.github.com/kevin...。

文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。

轉(zhuǎn)載請注明本文地址:http://specialneedsforspecialkids.com/yun/31679.html

相關(guān)文章

  • 優(yōu)秀文章收藏(慢慢消化)持續(xù)更新~

    摘要:整理收藏一些優(yōu)秀的文章及大佬博客留著慢慢學(xué)習(xí)原文協(xié)作規(guī)范中文技術(shù)文檔協(xié)作規(guī)范阮一峰編程風(fēng)格凹凸實驗室前端代碼規(guī)范風(fēng)格指南這一次,徹底弄懂執(zhí)行機制一次弄懂徹底解決此類面試問題瀏覽器與的事件循環(huán)有何區(qū)別筆試題事件循環(huán)機制異步編程理解的異步 better-learning 整理收藏一些優(yōu)秀的文章及大佬博客留著慢慢學(xué)習(xí) 原文:https://www.ahwgs.cn/youxiuwenzhan...

    JeOam 評論0 收藏0
  • 前端基礎(chǔ)

    摘要:談起閉包,它可是兩個核心技術(shù)之一異步基于打造前端持續(xù)集成開發(fā)環(huán)境本文將以一個標(biāo)準(zhǔn)的項目為例,完全拋棄傳統(tǒng)的前端項目開發(fā)部署方式,基于容器技術(shù)打造一個精簡的前端持續(xù)集成的開發(fā)環(huán)境。 這一次,徹底弄懂 JavaScript 執(zhí)行機制 本文的目的就是要保證你徹底弄懂javascript的執(zhí)行機制,如果讀完本文還不懂,可以揍我。 不論你是javascript新手還是老鳥,不論是面試求職,還是日...

    graf 評論0 收藏0
  • JavasScript重難點知識

    摘要:忍者級別的函數(shù)操作對于什么是匿名函數(shù),這里就不做過多介紹了。我們需要知道的是,對于而言,匿名函數(shù)是一個很重要且具有邏輯性的特性。通常,匿名函數(shù)的使用情況是創(chuàng)建一個供以后使用的函數(shù)。 JS 中的遞歸 遞歸, 遞歸基礎(chǔ), 斐波那契數(shù)列, 使用遞歸方式深拷貝, 自定義事件添加 這一次,徹底弄懂 JavaScript 執(zhí)行機制 本文的目的就是要保證你徹底弄懂javascript的執(zhí)行機制,如果...

    forsigner 評論0 收藏0
  • 帶你徹底弄懂Event Loop

    前言 我在學(xué)習(xí)瀏覽器和NodeJS的Event Loop時看了大量的文章,那些文章都寫的很好,但是往往是每篇文章有那么幾個關(guān)鍵的點,很多篇文章湊在一起綜合來看,才可以對這些概念有較為深入的理解。 于是,我在看了大量文章之后,想要寫這么一篇博客,不采用官方的描述,結(jié)合自己的理解以及示例代碼,用最通俗的語言表達出來。希望大家可以通過這篇文章,了解到Event Loop到底是一種什么機制,瀏覽器和Nod...

    hersion 評論0 收藏0

發(fā)表評論

0條評論

最新活動
閱讀需要支付1元查看
<