我和我的專案之Security整合JWT

對security做了初步的介紹。了解其大致執行原理。歸結起來可以用下面這張圖進行概括。

但落地到實際專案中還是存在著不少缺陷。例如token安全問題。

token 是一串字串，通常因為作為鑑權憑據，最常用的使用場景是api鑑權。

1.cookie + session

和平常 web 登陸一樣的鑑權方式，很常見。

將賬號和密碼拼接然後base64 編碼加到 header 頭中。很顯然，因為賬號和密碼幾乎是『明文』傳輸的，而且每次請求都傳，安全性可想而知。

每次請求都要對賬號、密碼取一次摘要，也就是說每次請求都要有賬號和密碼，也就是說賬號和密碼要麼快取一下，要麼就每次請求要去使用者輸一次密碼，這樣顯然不合適。同樣，上面的 basic 也存在這樣的問題。

4.token

token 通過一次登入驗證，得到乙個鑑權字串，然後以後帶著這個鑑權字串進行後續操作，這樣就可以解決每次請求都要帶賬號密碼的問題，而且也不需要反覆使用賬號和密碼。

token 相對於 cookie + session 的優點，主要有下面兩個：

①csrf攻擊

這個原理不多做介紹，構成這個攻擊的原因，就在於cookie + session 的鑑權方式中，鑑權資料（cookie 中的 session_id）是由瀏覽器自動攜帶傳送到服務端的，借助這個特性，攻擊者就可以通過讓使用者誤點攻擊鏈結，達到攻擊效果。而token是通過客戶端本身邏輯作為動態引數加到請求中的，token 也不會輕易洩露出去，因此token在csrf 防禦方面存在天然優勢。

②適合移動應用

移動端上不支援cookie，而token只要客戶端能夠進行儲存就能夠使用，因此token在移動端上也具有優勢。

【token的種類】

自定義的token：開發者根據業務邏輯自定義的token

jwt：json web token，定義在 rfc 7519 中的一種token規範

oauth2.0：定義在 rfc 6750 中的一種授權規範，但這其實並不是一種 token，只是其中也有用到 token

jwt 全稱json web tokens，是一種規範化的 token。可以理解為對 token 這一技術提出一套規範，是在 rfc 7519 中提出的。

乙個 jwt token 是乙個字串，它由三部分組成，頭部、載荷與簽名，中間用 . 分隔。

頭部通常由兩部分組成：令牌的型別（即 jwt）和正在使用的簽名演算法（如 hmac sha256 或 rsa.）

載荷中放置了token 的一些基本資訊，以幫助接受它的伺服器來理解這個 token。同時還可以包含一些自定義的資訊，使用者資訊交換。

載荷的屬性也分三類：

預定義（registered）

公有（public）

私有（private）

簽名時需要用到前面編碼過的兩個字串，如果以 hmacsha256 加密，就如下：

hmacsha256(
base64urlencode(header) + "." +
base64urlencode(payload),
secret
)

加密後再進行 base64url 編碼。最後得到的字串就是 token 的第三部分 zzzzz。

組合便可以得到 token：***xx.yyyyy.zzzzz

簽名的作用：保證 jwt 沒有被篡改過：

hmac 演算法是不可逆演算法，類似 md5 和 hash ，但多乙個金鑰，金鑰（即上面的 secret）由服務端持有，客戶端把 token 發給服務端後，服務端可以把其中的頭部和載荷再加上事先共享的 secret 再進行一次 hmac 加密，得到的結果和 token 的第三段進行對比，如果一樣則表明資料沒有被篡改。

jwt 的使用有兩種方式：

加到 url 中：?token=你的token

加到 header 中，建議用這種，因為在 https 情況下更安全：authorization:bearer 你的token

具體專案可以git [email protected]:lth1024/security.git拆箱即用。

我和我的專案之Security整合JWT

我和我的父親

我和我的Android

我和我的智慧型車

我和我的專案之Security整合JWT

我和我的父親

我和我的Android

我和我的智慧型車

相關推薦