<kbd id="afajh"><form id="afajh"></form></kbd>
<strong id="afajh"><dl id="afajh"></dl></strong>
    2. 

    <del id="afajh"><form id="afajh"></form></del>
    

    5. 

        1. <th id="afajh"><progress id="afajh"></progress></th>

          <b id="afajh"><abbr id="afajh"></abbr></b>
          <th id="afajh"><progress id="afajh"></progress></th>
          牛逼!單點(diǎn)登錄系統(tǒng)用 8 張漫畫就解釋了。。。
          共
                3782字,需瀏覽
                    8分鐘
                
           ·
          2021-07-04 14:07
          
                    

                    
                    
                    
                    
          點(diǎn)擊上方“碼農(nóng)突圍”,馬上關(guān)注
          這里是碼農(nóng)充電第一站,回復(fù)“666”,獲取一份專屬大禮包
          真愛,請(qǐng)?jiān)O(shè)置“星標(biāo)”或點(diǎn)個(gè)“在看
          來源:blog.leapoahead.com/2015/09/06/understanding-jwt/

          JSON Web Token(JWT)是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。
          讓我們來假想一下一個(gè)場(chǎng)景。在A用戶關(guān)注了B用戶的時(shí)候,系統(tǒng)發(fā)郵件給B用戶,并且附有一個(gè)鏈接“點(diǎn)此關(guān)注A用戶”。鏈接的地址可以是這樣的
          https://your.awesome-app.com/make-friend/?from_user=B&target_user=A
          上面的URL主要通過URL來描述這個(gè)當(dāng)然這樣做有一個(gè)弊端,那就是要求用戶B用戶是一定要先登錄的。可不可以簡(jiǎn)化這個(gè)流程,讓B用戶不用登錄就可以完成這個(gè)操作。JWT就允許我們做到這點(diǎn)。
          JSON Web Token
          JWT的組成
          一個(gè)JWT實(shí)際上就是一個(gè)字符串,它由三部分組成,頭部載荷簽名 。
          載荷(Payload)
          我們先將上面的添加好友的操作描述成一個(gè)JSON對(duì)象。其中添加了一些其他的信息,幫助今后收到這個(gè)JWT的服務(wù)器理解這個(gè)JWT。
          {
              "iss""John Wu JWT",
              "iat": 1441593502,
              "exp": 1441594722,
              "aud""www.example.com",
              "sub""[email protected]",
              "from_user""B",
              "target_user""A"
          }
          這里面的前五個(gè)字段都是由JWT的標(biāo)準(zhǔn)所定義的。
          • iss: 該JWT的簽發(fā)者
          • sub: 該JWT所面向的用戶
          • aud: 接收該JWT的一方
          • exp(expires): 什么時(shí)候過期,這里是一個(gè)Unix時(shí)間戳
          • iat(issued at): 在什么時(shí)候簽發(fā)的
          這些定義都可以在標(biāo)準(zhǔn)中找到。
          將上面的JSON對(duì)象進(jìn)行[base64編碼]可以得到下面的字符串。這個(gè)字符串我們將它稱作JWT的Payload (載荷)。
          eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
          如果你使用Node.js,可以用Node.js的包base64url來得到這個(gè)字符串。
          var base64url = require('base64url')
          var header = {
              "from_user""B",
              "target_user""A"
          }
          console.log(base64url(JSON.stringify(header)))
          // 輸出:eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdWQiOiJ3d3cuZXhhbXBsZS5jb20iLCJzdWIiOiJqcm9ja2V0QGV4YW1wbGUuY29tIiwiZnJvbV91c2VyIjoiQiIsInRhcmdldF91c2VyIjoiQSJ9
          小知識(shí):Base64是一種編碼,也就是說,它是可以被翻譯回原來的樣子來的。它并不是一種加密過程。
          頭部(Header)
          JWT還需要一個(gè)頭部,頭部用于描述關(guān)于該JWT的最基本的信息,例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象。
          {
            "typ""JWT",
            "alg""HS256"
          }
          在這里,我們說明了這是一個(gè)JWT,并且我們所用的簽名算法(后面會(huì)提到)是HS256算法。
          對(duì)它也要進(jìn)行Base64編碼,之后的字符串就成了JWT的Header (頭部)。
          eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
          簽名(簽名)
          將上面的兩個(gè)編碼后的字符串都用句號(hào).連接在一起(頭部在前),就形成了
          eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0
          這一部分的過程在node-jws的源碼中有體現(xiàn)
          最后,我們將上面拼接完的字符串用HS256算法進(jìn)行加密。在加密的時(shí)候,我們還需要提供一個(gè)密鑰(secret)。如果我們用mystar作為密鑰的話,那么就可以得到我們加密后的內(nèi)容
          rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
          這一部分又叫做簽名
          簽名過程
          最后將這一部分簽名也拼接在被簽名的字符串后面,我們就得到了完整的JWT
          eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
          于是,我們就可以將郵件中的URL改成
          https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM
          這樣就可以安全地完成添加好友的操作了!
          且慢,我們一定會(huì)有一些問題:
          1. 簽名的目的是什么?
          2. Base64是一種編碼,是可逆的,那么我的信息不就被暴露了嗎?
          讓我逐一為你說明。
          簽名的目的
          最后一步簽名的過程,實(shí)際上是對(duì)頭部以及載荷內(nèi)容進(jìn)行簽名。一般而言,加密算法對(duì)于不同的輸入產(chǎn)生的輸出總是不一樣的。對(duì)于兩個(gè)不同的輸入,產(chǎn)生同樣的輸出的概率極其地?。ㄓ锌赡鼙任页墒澜缡赘坏母怕蔬€?。?。所以,我們就把“不一樣的輸入產(chǎn)生不一樣的輸出”當(dāng)做必然事件來看待吧。
          所以,如果有人對(duì)頭部以及載荷的內(nèi)容解碼之后進(jìn)行修改,再進(jìn)行編碼的話,那么新的頭部和載荷的簽名和之前的簽名就將是不一樣的。而且,如果不知道服務(wù)器加密的時(shí)候用的密鑰的話,得出來的簽名也一定會(huì)是不一樣的。
          簽名過程
          服務(wù)器應(yīng)用在接受到JWT后,會(huì)首先對(duì)頭部和載荷的內(nèi)容用同一算法再次簽名。那么服務(wù)器應(yīng)用是怎么知道我們用的是哪一種算法呢?別忘了,我們?cè)贘WT的頭部中已經(jīng)用alg字段指明了我們的加密算法了。
          如果服務(wù)器應(yīng)用對(duì)頭部和載荷再次以同樣方法簽名之后發(fā)現(xiàn),自己計(jì)算出來的簽名和接受到的簽名不一樣,那么就說明這個(gè)Token的內(nèi)容被別人動(dòng)過的,我們應(yīng)該拒絕這個(gè)Token,返回一個(gè)HTTP 401 Unauthorized響應(yīng)。
          信息會(huì)暴露?
          是的。
          所以,在JWT中,不應(yīng)該在載荷里面加入任何敏感的數(shù)據(jù)。在上面的例子中,我們傳輸?shù)氖怯脩舻腢ser ID。這個(gè)值實(shí)際上不是什么敏感內(nèi)容,一般情況下被知道也是安全的。
          但是像密碼這樣的內(nèi)容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中,那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。
          JWT的適用場(chǎng)景
          我們可以看到,JWT適合用于向Web應(yīng)用傳遞一些非敏感信息。例如在上面提到的完成加好友的操作,還有諸如下訂單的操作等等。
          其實(shí)JWT還經(jīng)常用于設(shè)計(jì)用戶認(rèn)證和授權(quán)系統(tǒng),甚至實(shí)現(xiàn)Web應(yīng)用的單點(diǎn)登錄。在下一次的文章中,我將為大家系統(tǒng)地總結(jié)JWT在用戶認(rèn)證和授權(quán)上的應(yīng)用。
          - END -
          最近熱文
          ?  崩潰!補(bǔ)稅10W+
          ?  字節(jié)1/3員工反對(duì)取消大小周:每年少賺10萬塊!
          ?  “我的開源項(xiàng)目被科技巨頭拿去做產(chǎn)品了,注釋中連名字都被刪掉了”
          ?  12門課100分,直博清華的學(xué)霸火了!“造假都不敢這么寫”
          
                
          瀏覽
                    73
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          評(píng)論
          圖片
          表情
          推薦
        
          點(diǎn)贊
    
          評(píng)論
    
          收藏
    
          分享
        
          手機(jī)掃一掃分享
          分享
    
          
        舉報(bào)
    
          

          <kbd id="afajh"><form id="afajh"></form></kbd>
          <strong id="afajh"><dl id="afajh"></dl></strong>
            2. 

            <del id="afajh"><form id="afajh"></form></del>
            

            5. 

                1. <th id="afajh"><progress id="afajh"></progress></th>

                  <b id="afajh"><abbr id="afajh"></abbr></b>
                  <th id="afajh"><progress id="afajh"></progress></th>
                  

日韩在线久久
|
日韩A片一区二区三区在线播放
|
欧美成人在线观看视频
|
丁香五月天婷婷激情
|
成人尤物网站
|