什么是 JSON Web 令牌?
JSON Web 令牌 (JWT) 是一种开放标准 (RFC 7519),它界说了一种紧凑且自包罗的方式,用于将信息作为 JSON 对象在各方之间安全地传输。此信息是经过数字署名的,因此可以验证和信托。可以使用密钥(使用 HMAC 算法)或使用 RSA 或 ECDSA 的公钥/私钥对对 JWT 举行署名。
尽管 JWT 可以加密以在各方之间提供机密性,但我们将重点先容署名令牌。署名令牌可以验证其中包罗的声明的完整性,而加密令牌则对其他方隐蔽这些声明。当使用公钥/私钥对令牌举行署名时,署名还会证明只有持有私钥的一方是签订私钥的一方。
何时应使用 JSON Web 令牌?
以下是 JSON Web 令牌有用的一些情况:
- 授权:这是使用 JWT 的最常见场景。用户登录后,每个后续哀求都将包罗 JWT,答应用户访问该令牌答应的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能,因为它的开销小,并且能够轻松地跨差别域使用。
- 信息互换:JSON Web 令牌是在各方之间安全地传输信息的好方法。由于 JWT 可以署名(比方,使用公钥/私钥对),因此您可以确保发件人是他们所声称的身份。别的,由于署名是使用标头和有用负载盘算的,因此您还可以验证内容是否未被篡改。
什么是 JSON Web 令牌结构?
在其紧凑形式中,JSON Web 令牌由三个部分组成,由点 () 分隔,它们是:.
因此,JWT 通常如下所示。
让我们分解差别的部分。
页眉
标头通常由两部分组成:令牌的类型(JWT)和正在使用的署名算法,比方 HMAC SHA256 或 RSA。
比方:
- {
- "alg": "HS256",
- "typ": "JWT"
- }
有用载荷
令牌的第二部分是有用负载,其中包罗声明。声明是关于实体(通常是用户)和其他数据的声明。 有三种类型的声明:已注册、公共和私有声明。
- 已注册的声明:这些是一组预界说的声明,不是强制性的,但发起使用,以提供一组有用的、可互操作的声明。其中一些是:iss(颁发者)、exp(过期时间)、sub(主题)、aud(受众)等。
请注意,声明名称只有三个字符长,因为 JWT 是紧凑的。
- Public claims:这些声明可以由使用 JWT 的用户随意界说。但为制止辩论,应在 IANA JSON Web 令牌注册表中界说它们,或将其界说为包罗抗辩论定名空间的 URI。
- 私有声明:这些是自界说声明,用于在同意使用它们的各方之间共享信息,既不是注册声明,也不是公开声明。
一个示例有用负载可以是:
- {
- "sub": "1234567890",
- "name": "John Doe",
- "admin": true
- }
请注意,对于署名令牌,此信息虽然可以防止篡改,但任何人都可以读取。除非 JWT 已加密,否则不要将机密信息放在 JWT 的 payload 或 header 元素中。
署名
要创建署名部分,您必须获取编码的标头、编码的有用负载、密钥、标头中指定的算法,并对其举行署名。
比方,如果您想使用 HMAC SHA256 算法,将按以下方式创建署名:
- HMACSHA256(
- base64UrlEncode(header) + "." +
- base64UrlEncode(payload),
- secret)
把所有的东西放在一起
输出是三个 Base64-URL 字符串,由点分隔,可以在 HTML 和 HTTP 情况中轻松传递,同时与基于 XML 的标准(如 SAML)相比更加紧凑。
下面表现了一个 JWT,该 JWT 对之前的标头和有用负载举行了编码,并使用密钥举行了署名。
在go中的简单使用
下载依赖jwt官方库
- go get -u github.com/golang-jwt/jwt/v5
创建一个携带用户基本信息的token
- // JwtPayLoad jwt中payload数据
- type JwtPayLoad struct {
- UserID uint `json:"user_id"`
- Username string `json:"username"` // 用户名
- Role int `json:"role"` // 权限
- }
- type CustomClaims struct {
- JwtPayLoad
- jwt.RegisteredClaims
- }
- // GenToken 创建 Token
- func GenToken(user JwtPayLoad, accessSecret string, expires int64) (string, error) {
- claim := CustomClaims{
- JwtPayLoad: user,
- RegisteredClaims: jwt.RegisteredClaims{
- ExpiresAt: jwt.NewNumericDate(time.Now().Add(time.Hour * time.Duration(expires))),
- },
- }
- token := jwt.NewWithClaims(jwt.SigningMethodHS256, claim)
- return token.SignedString([]byte(accessSecret))//自定义秘钥,[]byte类型
- }
RegisteredClaims是一个结构体,可以根据需求选择填写生成的token内容
- type RegisteredClaims struct {
- // Issuer (iss) - 签发者
- // the `iss` (Issuer) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.1
- Issuer string `json:"iss,omitempty"`
- // Subject (sub) - 主题/主体
- // the `sub` (Subject) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.2
- Subject string `json:"sub,omitempty"`
- // Audience (aud) - 接收方
- // the `aud` (Audience) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.3
- Audience ClaimStrings `json:"aud,omitempty"`
- // ExpiresAt (exp) - 过期时间,设置为当前时间之后24小时
- // the `exp` (Expiration Time) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.4
- ExpiresAt *NumericDate `json:"exp,omitempty"`
- // NotBefore (nbf) - 生效时间,设置为当前时间
- // the `nbf` (Not Before) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.5
- NotBefore *NumericDate `json:"nbf,omitempty"`
- // IssuedAt (iat) - 签发时间
- // the `iat` (Issued At) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.6
- IssuedAt *NumericDate `json:"iat,omitempty"`
- // ID (jti) - JWT ID,唯一标识符
- // the `jti` (JWT ID) claim. See https://datatracker.ietf.org/doc/html/rfc7519#section-4.1.7
- ID string `json:"jti,omitempty"`
- }
- // ParseToken 解析 token
- func ParseToken(tokenStr string, accessSecret string, expires int64) (*CustomClaims, error) {
- token, err := jwt.ParseWithClaims(tokenStr, &CustomClaims{}, func(token *jwt.Token) (interface{}, error) {
- return []byte(accessSecret), nil
- })
- if err != nil {
- return nil, err
- }
- if claims, ok := token.Claims.(*CustomClaims); ok && token.Valid {
- return claims, nil
- }
- return nil, errors.New("invalid token")
- }
|
