摘要:最近�����,項目的安全認證機制全面采用�。為了伸縮性考慮,采用機制��,必然面臨著應(yīng)用狀態(tài)的問題�����,而且必然牽涉到的復制�����。為了安全性考慮��,機制僅驗證時天然對免疫��。若有可能���,使用標志�����。采用來防止這是因為��,在站點上發(fā)起向站點的請求時����,站點的同樣會被發(fā)送給。
最近��,項目的安全認證機制全面采用JWT?���,F(xiàn)在,趁整個工作基本告一段落之際����,將一些知識點總結(jié)一下發(fā)布出來。
為什么要遷移��?
原因很簡單��,就以下幾點:
為了遷移到微服務(wù)架構(gòu)��,由于服務(wù)分拆之后�,單一的登錄入口點消失了����,采用Token是必然之選����。
為了伸縮性考慮��,采用Cookie + Session機制�,必然面臨著應(yīng)用狀態(tài)的問題,而且必然牽涉到session的復制���。采用Token�,天然避免這一點�。這里并非是指完全無Session化,但起碼可以降至最少�����。
為了移動端考慮�����,Token更適合移動端�,比Cookie更靈活了。
為了安全性考慮�����,Token機制【僅驗證request header時】天然對CSRF免疫。
JWT為何物�?
JWT由三部分組成:header + payload + signature,每部分是一個Json表示���。最終的Token對這三部分進行編碼之后的字符串����,中間用“.”分割:
token = encodeBase64(header) + "." + encodeBase64(payload) + "." + encodeBase64(signature) # token is now:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dnZWRJbkFzIjoiYWRtaW4iLCJpYXQiOjE0MjI3Nzk2Mzh9.gzSraSYS8EXBxLN_oWnFSRgCzcmJmMjLiuyu5CSpyHI
在應(yīng)用與服務(wù)器之間傳遞的就是上述字符串形式的Token��。
如何使用JWT�?
使用JWT的應(yīng)用基本都遵循下面的使用流程:
訪問登錄點。
登錄服務(wù)驗證之后����,簽發(fā)證書返回給客戶端。
客戶端保存證書�,并在每次請求時將其附在request header中,表示已經(jīng)登錄���。
服務(wù)器接收請求之后�����,通過簽名和時戳����,驗證Token的有效性���。
若有效���,則響應(yīng)客戶端。
對應(yīng)的request header如下:
Authorization:Bearer
整個過程如下圖:
在一般的應(yīng)用中���,驗證成功之后���,服務(wù)器可能會在Cookie或Session中保留一些用戶相關(guān)的額外信息,簡化后續(xù)的編程��,同時避免反復讀取數(shù)據(jù)庫����。
在JWT,同樣可以實現(xiàn)這樣的功能:只需將相應(yīng)的內(nèi)容放入payload即可����。這樣����,下次從客戶端發(fā)送的token中便可以解碼得出����。
驗證JWT的有效性時,會考慮至少下面兩點:
簽名是否正確���?
Token是否到期����?
整個過程的編碼其實并不復雜��,請參見文后的鏈接�,這里不再啰嗦。
使用中的注意事項
出于安全性�����,注意以下幾點:
簽名證書需要安全存放
不要將敏感信息放置于token中
請結(jié)合SSL使用
如果要在Cookie中保存Token【此時�,服務(wù)器要同時驗證cookie或header中是否有token】
留意Token的大小超過Cookie的限制
請使用HttpOnly標志。若有可能��,使用Secure標志。
采用Synchronize Token來防止CSRF【這是因為��,在A站點上發(fā)起向B站點的請求時���,B站點的Cookie同樣會被發(fā)送給B�。若不使用另一個Token來防護��,則無法得知cookie中的JWT是否屬于從A->B��,還是從B->B���。目前,大部分現(xiàn)有的框架已經(jīng)支持】�����。
為了防止replay attack���,可加上jti���、exp和iat聲明
以上是對JWT的旋風式說明,其他的內(nèi)容���,請參見參考文獻��。
參考文獻
Get Started with JSON Web Tokens
Introduction to JSON Web Tokens
維基百科上的JWT
Vert.x Web的JWT例子
Where to Store your JWTs – Cookies vs HTML5 Web Storage
Use JWT The Right Way!
Authentication: Cookies vs JWTs and why you’re doing it wrong
How to store a JWT token inside an HTTP only cookie?
Cookies vs Tokens: The Definitive Guide
管理JWT的生命周期
JWT規(guī)范
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為�,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/11225.html
