一. JWT是什么

JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。简单说,OAuth 就是一种授权机制。数据的所有者告诉系统,同意授权第三方应用进入系统,获取这些数据。系统从而产生一个短期的进入令(token),用来代替密码,供第三方应用使用。

传统的授权认证方式,需要持久化session数据,写入数据库或文件持久层等,且授权校验依赖于数据持久层。 这样的方式,对于结构维护成本大,实现单点登录较为复杂,且没有分布式架构,无法支持横向扩展风险较大(如果持久层失败,整个认证体系都会挂掉)。

JWT则无须持久化会话数据,是以加密签名的方式实现了用户身份认证授权,很好的解决了跨域身份验证分布式session共享单点登录横向扩展等问题。

二. JWT标准规范

JWT由三部分组成,即头部负载签名。Token格式为 token=头部+'.'+载荷+'.'+签名

{"token":"eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE1Nzg0MDQ5OTUsImlhdCI6MTU3ODQwMTM5NX0.waG8rvOZLM2pKDeKg7frMKlV8lAty1Og5LDjrVMJRsI"}

1. Header: 用于说明签名的加密算法等,下面类型的json经过base64编码后得到JWT头部。

{

  "typ": "JWT",

  "alg": "HS256"

}

2. Payload: 标准定义了7个字段,载荷json经过base64编码后得到JWT的载荷。

{

  iss (issuer):签发人

  exp (expiration time):过期时间

  sub (subject):主题

  aud (audience):受众

  nbf (Not Before):生效时间

  iat (Issued At):签发时间

  jti (JWT ID):编号

}

示例:

{

    "sub": "1",

    "iss": "http://localhost:8000/user/sign_up",

    "iat": 1451888119,

    "exp": 1454516119,

    "nbf": 1451888119,

    "jti": "37c107e4609ddbcc9c096ea5ee76c667"

}

3.Signature: 将头部和载荷用'.'号连接,再加上一串密钥,经过头部声明的加密算法加密后得到签名。

HMACSHA256(

    base64UrlEncode(header) + "." +

    base64UrlEncode(payload),

    secret

)

三. 核心代码简析

1. 数据结构

// A JWT Token.  Different fields will be used depending on whether you're

// creating or parsing/verifying a token.

type Token struct {

   Raw       string                 // The raw token.  Populated when you Parse a token

   Method    SigningMethod          // The signing method used or to be used

   Header    map[string]interface{} // (头部)The first segment of the token

   Claims    Claims                 // (负载)The second segment of the token

   Signature string                 // (签名)The third segment of the token.  Populated when you Parse a token

   Valid     bool                   // Is the token valid?  Populated when you Parse/Verify a token

}


// Structured version of Claims Section, as referenced at

// https://tools.ietf.org/html/rfc7519#section-4.1

// See examples for how to use this with your own claim types

type StandardClaims struct {

   Id        string `json:"jti,omitempty"`  //编号

   Subject   string `json:"sub,omitempty"`  //主题

   Issuer    string `json:"iss,omitempty"`  //签发人

   Audience  string `json:"aud,omitempty"`  //受众

   ExpiresAt int64  `json:"exp,omitempty"`  //过期时间

   IssuedAt  int64  `json:"iat,omitempty"` //签发时间

   NotBefore int64  `json:"nbf,omitempty"`  //生效时间

}

2. 生成Token

var(

   key []byte = []byte("This is secret!")

)

// 产生json web token

func GenToken() string {

   claims := &jwt.StandardClaims{

      NotBefore: int64(time.Now().Unix()),

      ExpiresAt: int64(time.Now().Unix() + 1000),

      Issuer:    "Bitch",

   }

   token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

   ss, err := token.SignedString(key)

   if err != nil {

      logs.Error(err)

      return ""

   }

   return ss

}

3. 校验Token

// 校验token是否有效

func CheckToken(token string) bool {

   _, err := jwt.Parse(token, func(*jwt.Token) (interface{}, error) {

      return key, nil

   })

   if err != nil {

      fmt.Println("parase with claims failed.", err)

      return false

   }

   return true

}

四. 登录授权示例

handler/auth.go

package handler

import (

   "fmt"

   "github.com/dgrijalva/jwt-go"

   "github.com/dgrijalva/jwt-go/request"

   "net/http"

)

const (

   SecretKey = "ODcyNDYsIMzY0N"

)

func ValidateTokenMiddleware(w http.ResponseWriter, r *http.Request, next http.HandlerFunc) {

   token, err := request.ParseFromRequest(r, request.AuthorizationHeaderExtractor,

      func(token *jwt.Token) (interface{}, error) {

         return []byte(SecretKey), nil

      })

   if err == nil {

      if token.Valid {

         next(w, r)

      } else {

         w.WriteHeader(http.StatusUnauthorized)

         fmt.Fprint(w, "Token is not valid")

      }

   } else {

      w.WriteHeader(http.StatusUnauthorized)

      fmt.Fprint(w, "Unauthorized access to this resource")

   }

}

handler/account.go

package handler

import (

   "encoding/json"

   "fmt"

   "github.com/dgrijalva/jwt-go"

   "log"

   "net/http"

   "strings"

   "time"

)

func fatal(err error) {

   if err != nil {

      log.Fatal(err)

   }

}

type UserCredentials struct {

   Username string `json:"username"`

   Password string `json:"password"`

}

type User struct {

   ID       int    `json:"id"`

   Name     string `json:"name"`

   Username string `json:"username"`

   Password string `json:"password"`

}

type Response struct {

   Data string `json:"data"`

}

type Token struct {

   Token string `json:"token"`

}

func LoginHandler(w http.ResponseWriter, r *http.Request) {

   var user UserCredentials

   err := json.NewDecoder(r.Body).Decode(&user)

   if err != nil {

      w.WriteHeader(http.StatusForbidden)

      fmt.Fprint(w, "Error in request")

      return

   }

   if strings.ToLower(user.Username) != "admin" {

      if user.Password != "123456" {

         w.WriteHeader(http.StatusForbidden)

         fmt.Fprint(w, "Invalid credentials")

         return

      }

   }

   // 创建Token

   token := jwt.New(jwt.SigningMethodHS256)

   claims := make(jwt.MapClaims)

   claims["exp"] = time.Now().Add(time.Hour * time.Duration(1)).Unix()

   claims["iat"] = time.Now().Unix()

   token.Claims = claims

   //if err != nil {

   // w.WriteHeader(http.StatusInternalServerError)

   // fmt.Fprintln(w, "Error extracting the key")

   // fatal(err)

   //}

   tokenString, err := token.SignedString([]byte(SecretKey))

   if err != nil {

      w.WriteHeader(http.StatusInternalServerError)

      fmt.Fprintln(w, "Error while signing the token")

      fatal(err)

   }

   response := Token{tokenString}

   JsonResponse(response, w)

}

func FundHandler(w http.ResponseWriter, r *http.Request) {

   response := Response{"账户余额:1000W"}

   JsonResponse(response, w)

}

func JsonResponse(response interface{}, w http.ResponseWriter) {

   obj, err := json.Marshal(response)

   if err != nil {

      http.Error(w, err.Error(), http.StatusInternalServerError)

      return

   }

   w.WriteHeader(http.StatusOK)

   w.Header().Set("Content-Type", "application/json")

   w.Write(obj)

}

main.go

import (

   "github.com/codegangsta/negroni"

   "log"

   "net/http"

   "proxy/handler"

)

func Server() {

   http.HandleFunc("/login", handler.LoginHandler)

   http.Handle("/data", negroni.New(

      negroni.HandlerFunc(handler.ValidateTokenMiddleware), //中间件

      negroni.Wrap(http.HandlerFunc(handler.FundHandler)),

   ))

   log.Println("服务已启动...")

   http.ListenAndServe(":8080", nil)

}

func main() {

   Server()

}

五. JWT 使用方式

客户端收到服务器返回的 JWT,可以储存在 Cookie 里面,也可以储存在 localStorage

此后,客户端每次与服务器通信,都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送,但是这样不能跨域。所以更好的做法是放在HTTP请求的头信息Authorization字段里面(或放在POST 请求的数据体里面)。

Authorization: Bearer <token>

六. JWT注意事项

  1. JWT默认不加密,但可以加密。生成原始令牌后,可以使用改令牌再次对其进行加密。
  2. JWT不仅可用于认证,还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
  3. JWT的最大缺点是服务器不保存会话状态,一旦JWT签发,在有效期内将会一直有效。
  4. JWT的有效期不宜设置太长,认证信息,因此一旦信息泄露,任何人都可以获得令牌的所有权限。
  5. 为了减少JWT数据盗用和窃取的风险,JWT建议使用加密的HTTPS协议进行传输。

参考:

http://www.ruanyifeng.com/blog/2019/04/oauth_design.html 关于OAuth2.0

https://blog.csdn.net/wangshubo1989/article/details/74529333

https://blog.csdn.net/idwtwt/article/details/80865209

https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

JWT实现授权认证的更多相关文章

  1. [转]三分钟学会.NET Core Jwt 策略授权认证

    [转]三分钟学会.NET Core Jwt 策略授权认证 一.前言# 大家好我又回来了,前几天讲过一个关于Jwt的身份验证最简单的案例,但是功能还是不够强大,不适用于真正的项目,是的,在真正面对复杂而 ...

  2. 三分钟学会.NET Core Jwt 策略授权认证

    一.前言 大家好我又回来了,前几天讲过一个关于Jwt的身份验证最简单的案例,但是功能还是不够强大,不适用于真正的项目,是的,在真正面对复杂而又苛刻的客户中,我们会不知所措,就现在需要将认证授权这一块也 ...

  3. ASP.NET Core 3.0 一个 jwt 的轻量角色/用户、单个API控制的授权认证库

    目录 说明 一.定义角色.API.用户 二.添加自定义事件 三.注入授权服务和中间件 三.如何设置API的授权 四.添加登录颁发 Token 五.部分说明 六.验证 说明 ASP.NET Core 3 ...

  4. ASP.NET Core 中jwt授权认证的流程原理

    目录 1,快速实现授权验证 1.1 添加 JWT 服务配置 1.2 颁发 Token 1.3 添加 API访问 2,探究授权认证中间件 2.1 实现 Token 解析 2.2 实现校验认证 1,快速实 ...

  5. Asp.NetCore3.1 WebApi 使用Jwt 授权认证使用

    1:导入NuGet包 Microsoft.AspNetCore.Authentication.JwtBearer 2:配置 jwt相关信息 3:在 startUp中 public void Confi ...

  6. spring cloud+dotnet core搭建微服务架构:Api授权认证(六)

    前言 这篇文章拖太久了,因为最近实在太忙了,加上这篇文章也非常长,所以花了不少时间,给大家说句抱歉.好,进入正题.目前的项目基本都是前后端分离了,前端分Web,Ios,Android...,后端也基本 ...

  7. 【从零开始搭建自己的.NET Core Api框架】(七)授权认证进阶篇

    系列目录 一.  创建项目并集成swagger 1.1 创建 1.2 完善 二. 搭建项目整体架构 三. 集成轻量级ORM框架——SqlSugar 3.1 搭建环境 3.2 实战篇:利用SqlSuga ...

  8. spring cloud+.net core搭建微服务架构:Api授权认证(六)

    前言 这篇文章拖太久了,因为最近实在太忙了,加上这篇文章也非常长,所以花了不少时间,给大家说句抱歉.好,进入正题.目前的项目基本都是前后端分离了,前端分Web,Ios,Android...,后端也基本 ...

  9. Node.js 使用JWT进行用户认证

    代码地址如下:http://www.demodashi.com/demo/13847.html 运行环境 该项目基于 node(v7.8.0版本以上) 和 mongodb 数据库,因此电脑上需要安装这 ...

随机推荐

  1. 2016 年度开源中国新增开源软件排行榜 TOP 100

    2016 年度开源中国新增开源软件排行榜 TOP 100 2016 年度开源中国新增开源软件排行榜 TOP 100 新鲜出炉!本榜单根据 2016 年开源中国新收录的 3030 款软件的关注度和活跃度 ...

  2. springboot jpa 解决延迟加载问题

    在springboot中,在application.properties的配置文件中新增spring.jpa.open-in-view=true方法失效,经过测试,有两种解决办法: 1.在applic ...

  3. 2019-11-6-Roslyn-how-to-use-WriteLinesToFile-to-write-the-semicolons-to-file

    title author date CreateTime categories Roslyn how to use WriteLinesToFile to write the semicolons t ...

  4. H3C 通配符掩码的应用示例

  5. linux scull 的设计

    编写驱动的第一步是定义驱动将要提供给用户程序的能力(机制).因为我们的"设备"是计算 机内存的一部分, 我们可自由做我们想做的事情. 它可以是一个顺序的或者随机存取的设 备, 一个 ...

  6. tf.train.string_input_producer()

    处理从文件中读数据 官方说明 简单使用 示例中读取的是csv文件,如果要读tfrecord的文件,需要换成 tf.TFRecordReader import tensorflow as tf file ...

  7. 2019-4-6-VisualStudio-2019-如何离线下载

    title author date CreateTime categories VisualStudio 2019 如何离线下载 lindexi 2019-04-06 09:26:11 +0800 2 ...

  8. git 安装及基本配置

    git 基本上来说是开发者必备工具了,在服务器里没有 git 实在不太能说得过去.何况,没有 git 的话,面向github编程 从何说起,如同一个程序员断了左膀右臂. 你对流程熟悉后,只需要一分钟便 ...

  9. H3C系统调试的操作

  10. 响应式自适应布局代码,rem布局

    响应式自适应布局代码 首先是先设置根字体大小,PC端一般是16px为根字体,移动端会有不同的,根据情况来设置 js部分 document.querySelector('html').style.fon ...