JWT身份验证

在实际项目中一般会使用jwt鉴权方式。

JWT知识点

jwt，全称json web token ，JSON Web令牌是一种开放的行业标准RFC 7519方法，用于·在两方安全地表示声明。具体网上有许多文章介绍，这里做简单的使用。

1.数据结构

JSON Web Token 由三部曲组成，他们之间用圆点 .进行分割，一个标准的JWT形如xxx.yyy.zzz

Header
Payload
Signature

1.1 header

头部，由两部分组成;token的类型（ JWT）和算法名称（HMAC 、SHA256、RSA......）。

实例：

{
"alg": "HS256"
"typ": "JWT"
}

然后通过Base64对这个JSON编码就得到JWT得第一部分

1.2Payload

第二部分具体得实体，可以写入自定义的数据信息，有三种类型

Registered claims ：这里有一组预定义的声明，他们不是强制的，但是推荐。如;iss(issuer签发者)exp（expiration time 有效期），sub（subject），aud（audience）等。
public claims：可以随意定义。
private claims ：用于在同意使用它们的各方之间共享信息，并且不是注册的或者公开的声明

实例：

{
"iss": "加油",
"exp": 182309645,
"uname": "妮甲"
}

对payload进行Base64编码就得到JWT的第二部分

1.3 Signature

为了得到签名部分，你必须有编过码的header、编过码的payload、一个密钥，签名算法是header中指定的那个，然后对他们签名即可

签名是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方式是否为它所称的发送方式。

1.4具体实例

下面给出一个基于java-jwt生成的具体实例

public static void main(String[] args){

String token = JWT.create().withIssuer("加油").withExpiresAt(new Date(System.currentTimeMillis() + 86400_000))
       .withPayload(MapUtils.create("uname" , "妮甲" ))  
       .sign(Alogorithm.HMAC256("helloWorld"));
        
        System.out.println(token);  


}

技术派的应用

1.通过jwt鉴权方案

JWT鉴权流程

一个简单的基于jwt的身份验证方案如下图

基本流程分三步：

1. 用户登录成功后，后端将生成的jwt返回给前端，然后前端将其保存在本地缓存；
2. 之后前端与后端的交互时，都将jwt放在请求头中，比如可以将其放在Http的身份认证的请求头AUthorization ，也可以通过自定义的请求头来传递
3. 后端接收到用户的请求，从请求头中获取jwt，然后进行校验，通过后，才相应相关的接口；否则表示未登录。

说明：项目采用session的方案，将jwt写入到coolik中

2. jwt的使用

接下来看在技术派中的实际使用场景，核心逻辑在

我们直接在之前session的基础上进行优化，这里主要借助开源项目java-jwt来实现JWT的生成管理

生成JWT的实现

我们定义了签发者、有效期，指定了签名算法，然后实体类中，携带两个信息

s:即之前生成的sesionId ，我们借助自定义的traceId生成工具来生成唯一的会话id
u：用户userId

上面的实现中，有几个通用的成员属性，我们通过自定义的配置，再启动项目时进行初始化，避免后续的重复创建

自定义的jwt三个配置属性

paicoding:
    jwt:
      issuer: pai_coding #签发者
      secret：hello_world #签名密钥
      expire: 2592000000 #jwt有效期 ，默认30天

jwt校验

用户每次请求时，依然是沿用之前的session方式的校验逻辑，在Filter层，从请求头中，获取Cookie，找到对应的jwt，然后尝试根据jwt获取对应的用户信息。

注意上面的实现，即便是jwt校验通过了，我们也依然从redis中查了一下，判断是否有效

为啥这样设计？

因为jwt本身无状态，后端完全可以将redis这一层的存储都直接干掉，纯依赖jwt的特性来完成身份鉴权，但由于它的无状态，后端减少存储压力是一个好处，同样也是一个弊端，后端失去了token的管控权，如果我们希望提前失效某些用户身份，则无法持续，鉴于此，这里依然保留了redis中存储jwt的方案。

3.实例体验

接下来我们实际体验一下，线上运行技术派的jwt，登录之后，找到一个请求，找到cookie中的f-session

我们解析一下这个是啥？

站在用户的角度，说实话你用session还是jwt，没啥实质的感受差异，那为啥还有两种不同的技术方案？

session与jwt的对比

jwt	session
前端存储，通用的校验规则，后端再获取jwt时校验是否有效	前端存索引，后端判断session是否有效
验签，不可篡改	无签保障，安全性有后端保障
可存储非敏感信息，如头像，用户名	一般不存储业务信息
jwt生成时，指定了有效期，本身不支持续期以及提前失效	后端控制有效期，可提前失效或者自动续期
通常以请求头方式传递	通常以cookie方式传递
可预防csrf攻击	session-cookie方式存在csrf风险

注：csrf攻击

如在网站页面上，添加如下内容

然后当你访问此网站时，结果发现你在技术派上登录的用户被注销啦

使用jwt预防csrf攻击的主要原理就是jwt通过请求头，由js主动塞进去传递给后端，而非cookie的方式，从而避免csrf漏洞攻击，技术派的jwt也是采用cookie进行携带jwt，并不能解决上面这个个问题；同样，session方案，也可以将sessionId通过请求头的方式传递，按照这个说法也能避免csrf。

通常的方案由;

session-cookie方案

jwt-requestHeader方案

。