摘要:什么是是一個(gè)開(kāi)放的數(shù)據(jù)交換驗(yàn)證標(biāo)準(zhǔn)�����,一般用來(lái)做輕量級(jí)的鑒權(quán)���。由于許多接口設(shè)計(jì)是遵循無(wú)狀態(tài)的比如�����,所以是這一套機(jī)制的替代方案��。組成由三部分組成頭部載荷簽名�����。
什么是JWT�?
JWT(Json Web Token)是一個(gè)開(kāi)放的數(shù)據(jù)交換驗(yàn)證標(biāo)準(zhǔn)rfc7519(https://tools.ietf.org/html/r...,一般用來(lái)做輕量級(jí)的API鑒權(quán)���。由于許多API接口設(shè)計(jì)是遵循無(wú)狀態(tài)的(比如Restful)����,所以JWT是Cookie Session這一套機(jī)制的替代方案�。
組成
JWT由三部分組成頭部(header)、載荷(payload)��、簽名(signature)��。頭部定義類型和加密方式��;載荷部分放不是很重要的數(shù)據(jù)����;簽名使用定義的加密方式加密base64后的header和payload和一段你自己的加密key���。最后的token由base64(header).base64(payload).base64(signatrue)組成�。
使用方式
平時(shí)需要鑒權(quán)的接口需要傳這個(gè)token,可以post字段提交����,但是一般建議放在header頭中 ,因?yàn)镴WT一般配合https使用���,這樣就萬(wàn)無(wú)一失��。
為什么安全�?
首先token是服務(wù)端簽發(fā)����,然后驗(yàn)證時(shí)是用同樣加密方式把header、payload和key再加密遍 然后看是不是和簽名一致 如果不一致就說(shuō)明token是非法的 這里主要靠的是加密(比如HS256)難以被攻破 至少目前吧 另外不得不說(shuō)這里的加密對(duì)服務(wù)器來(lái)說(shuō)是一個(gè)開(kāi)銷 這也是JWT的缺點(diǎn)
使用
我很早就聽(tīng)說(shuō)過(guò)JWT 但那時(shí)候還沒(méi)用上 感覺(jué)近幾年前后端分離思想加速了JWT的使用 MVC前置到前端(VUE�����、REACT)后端只用提供API API強(qiáng)調(diào)無(wú)狀態(tài) 自然而然使用了JWT這套方案
之前做小程序時(shí) 沒(méi)有絕對(duì)使用JWT這套方案 我把它簡(jiǎn)化了下
最近開(kāi)發(fā)的一套項(xiàng)目用的是Laravel做后端提供API服務(wù)�,所以自然而然使用了JWT,使用的擴(kuò)展是tymon/jwt-auth 關(guān)于這套擴(kuò)展機(jī)制的具體使用可以參考這篇文章 寫(xiě)的很不錯(cuò):https://laravel-china.org/art...
項(xiàng)目使用時(shí)的具體細(xì)節(jié)
JWT三個(gè)時(shí)間概念
JWT有三個(gè)時(shí)間概念: 過(guò)期時(shí)間 寬限時(shí)間 刷新時(shí)間
上面那文章說(shuō)token過(guò)了過(guò)期時(shí)間是不可刷新的�����,但其實(shí)是可以刷新的,我這邊使用時(shí)可以(開(kāi)啟了黑名單機(jī)制和1min寬限時(shí)間) 但是過(guò)了刷新時(shí)間不能刷新這是肯定的
token刷新
可以借用laravel的中間件實(shí)現(xiàn)自動(dòng)刷新 服務(wù)端判斷過(guò)期了但是在刷新時(shí)間內(nèi)主動(dòng)刷新一次 并把新的token在Header頭中返回給客戶端
記住我功能
我感覺(jué)定義刷新時(shí)間(比如一個(gè)月) + token自動(dòng)刷新機(jī)制這一套就是記住我功能
不能主動(dòng)銷毀Token
默認(rèn)JWT這套方案好像不可以主動(dòng)剔除用戶的�����,因?yàn)榉?wù)端不會(huì)存token���,只是驗(yàn)證�。這和session不一樣���。 但是我感覺(jué)可以借用黑名單機(jī)制 來(lái)判斷 中間件中判斷該token在剔除黑名單中就銷毀token并返回鑒權(quán)失敗
單點(diǎn)登錄
結(jié)合緩存比如redis存客戶端標(biāo)識(shí)是可以的
多套用戶權(quán)限機(jī)制
比如客戶端有用戶端和商家端兩套用戶機(jī)制(不同表)�����,可以在auth.php定義兩個(gè)guard 分別指定對(duì)應(yīng)的model Login邏輯多帶帶寫(xiě) 比如auth("userApi") auth("corpApi") 可以拿到不同的guard 刷新中間件是可以共用的 不過(guò)router中的middleware方法可以指定具體的middleware
為什么不同權(quán)限體系的刷新中間件可以公用
感覺(jué)是jwt-auth實(shí)現(xiàn)了這機(jī)制 驗(yàn)證token時(shí)會(huì)根據(jù)sub字段判斷 我base64decode兩個(gè)token的payload后發(fā)現(xiàn)sub一個(gè)是1 一個(gè)是2
如果有問(wèn)題歡迎指正�!
本文最早發(fā)布于Rootrl"s blog https://rootrl.github.io/2018...
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為����,您可以聯(lián)系管理員刪除����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/29483.html
