關於JWT與cookie和token的區別說明

Posted on by

一. cookie

A)cookie如何認證

1.用戶輸入用戶名與密碼,發送給服務器。

2.服務器驗證用戶名和密碼,正確的就創建一個會話(session),同時會把這個會話的ID保存到客戶端瀏覽器中,因為保存的地方是瀏覽器的cookie,所以這種認證方式叫做基於cookie的認證方式。

3.後續的請求中,瀏覽器會發送會話ID到服務器,服務器上如果能找到對應的ID的會話,那麼服務器就會返回需要的數據給瀏覽器。

4.當用戶退出登錄,會話會同時在客戶端和服務器端被銷毀。

B)cookie認證方式的不足之處

1.服務器要為每個用戶保留session信息,連接用戶過多會造成服務器內存壓力過大。

2.適合單一域名,不適合第三方請求。

二. token

A)token的認證過程

1.用戶輸入用戶名和密碼,發送給服務器。

2.服務器驗證用戶名和密碼,正確的話就返回一個簽名過的token(token 可以認為就是個長長的字符串),瀏覽器客戶端拿到這個token。

3.後續每次請求中,瀏覽器會把token作為http header發送給服務器,服務器驗證簽名是否有效,如果有效那麼認證就成功,可以返回客戶端需要的數據。

4.一旦用戶退出登錄,隻需要客戶端銷毀token即可,服務器端不需要任何操作。

B)token認證方式的特點

這種方式的特點就是客戶端的token中自己保留有大量信息,服務器沒有存儲這些信息,而隻負責驗證,不必進行數據庫查詢,執行效率大大提高。

三. JWT

A)JWT介紹

1.JWT是json web token縮寫。它將用戶信息加密到token裡,服務器不保存任何用戶信息。服務器通過使用保存的密鑰驗證token的正確性,隻要正確即通過驗證。

2.優點是在分佈式系統中,很好地解決瞭單點登錄問題,很容易解決瞭session共享的問題。jwt長度較小,且可以使用URL傳輸(URLsafe)。不想cookies隻能在web環境起作用。 JWT可以同時使用在web環境和RESTfull的接口。

缺點是無法作廢已頒佈的令牌/不易應對數據過期。

B)JWT組成

JWT包含三個部分: Header頭部,Payload負載和Signature簽名。由三部分生成token,三部分之間用“.”號做分割。

列如 :

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

1.Header

在Header中通常包含瞭兩部分:type:代表token的類型,這裡使用的是JWT類型。 alg:使用的Hash算法,例如HMAC SHA256或RSA.

{
“alg”: “HS256”,
“typ”: “JWT”
}

這會被經過base64Url編碼形成第一部分

2.Payload

token的第二個部分是荷載信息,它包含一些聲明Claim(實體的描述,通常是一個User信息,還包括一些其他的元數據)

聲明分三類:

1)Reserved Claims,這是一套預定義的聲明,並不是必須的,這是一套易於使用、操作性強的聲明。包括:iss(issuer)、exp(expirationtime)、sub(subject)、aud(audience)等

2)Plubic Claims,

3)Private Claims,交換信息的雙方自定義的聲明

{
“sub”: “1234567890”,
“name”: “John Doe”,
“admin”: true
}

同樣經過Base64Url編碼後形成第二部分

3.signature

使用header中指定的算法將編碼後的header、編碼後的payload、一個secret進行加密。

例如使用的是HMAC SHA256算法,大致流程類似於: HMACSHA256( base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)

這個signature字段被用來確認JWT信息的發送者是誰,並保證信息沒有被修改

C)為什麼要使用JWT

相比XML格式,JSON更加簡潔,編碼之後更小,這使得JWT比SAML更加簡潔,更加適合在HTML和HTTP環境中傳遞。

在安全性方面,SWT隻能夠使用HMAC算法和共享的對稱秘鑰進行簽名,而JWT和SAML

token則可以使用X.509認證的公私秘鑰對進行簽名。與簡單的JSON相比,XML和XML數字簽名會引入復雜的安全漏洞。

因為JSON可以直接映射為對象,在大多數編程語言中都提供瞭JSON解析器,而XML則沒有這麼自然的文檔-對象映射關系,這就使得使用JWT比SAML更方便

java json web token工具類

D)JWT的Maven引入

<dependency>
    <groupId>io.jsonwebtoken</groupId>
    <artifactId>jjwt</artifactId>
    <version>0.9.0</version>
</dependency>

以上為個人經驗,希望能給大傢一個參考,也希望大傢多多支持WalkonNet。如有錯誤或未考慮完全的地方,望不吝賜教。

推薦閱讀: