JSON WEB Token(JWT)

最近面试被问及单点登陆怎么解决？自己的项目前后端分离，自己实现token认证，token有失效时间，token中包含用户基本的信息。且一个当用户重新登陆后，原来的token就会失效，这么安全的一个token怎么就被别人认为不安全了呢？自己孤陋寡闻，被问及jwt？没听过的名词，一查rfc，原来这么回事，和自己实现的token认证完全差不多嘛，而且比jwt本身更安全，即使token被泄露，只需要用户重新登陆认证一次，泄露的token立即失效，但jwt不一样，它如果泄露，在有效期内，依然有效，不可控。不过应该也能通过技术手段解决这种问题

JSON WEB Token (JWT)

摘要

JSON Web Token(JWT) 是一个简洁，两者传输之间是URL安全的方式。
这个声明在JWT中被编码为JSON对象被用于负载（payload）（JWS）签名结构或作为一个明文的
JSON Web 加密(JWE)结构，以MAC(消息授权码)或加密方式使这个声明为数字签名或完整性保护

• 1 介绍
• 2 术语
• 3 JWT概述
• 3.1 JWT例子
• 4 JWT声明
• 4.1 注册声明名称
• 4.1.1 iss(Issuer)声明
• 4.1.2 sub(Subject)声明
• 4.1.3 aud(Audience)声明
• 4.1.4 exp(Expiration Time)声明
• 4.1.5 nbf(Not Before)声明
• 4.1.6 iat(Issued At)声明
• 4.1.7 jti(JWT ID)声明
• 4.2 公共声明名称
• 4.3 私有声明名称
• 5 JOSE 头部
• 5.1 typ(Type)头部参数
• 5.2 cty(Content Type)头部参数
• 5.3 将声明复制为头部参数
• 6 非安全(Unsecured)的JWTs
• 6.1 非安全的JWTs例子
• 7 创建和验证JWTs
• 7.1 创建一个JWT
• 7.2 验证一个JWT
• 7.3 字符串比较规则
• 8 实现要求
• 9 URI是一个JWT
• 10 IANA思考
• 10.1 JSON Web Token声明注册
• 10.1.1 注册模版
• 10.1.2 初始化注册内容
• 10.2 子命名空间注册 urn:ietf:params:oauth:token-type:jwt
• 10.2.1 注册内容
• 10.3 媒体类型注册
• 10.3.1 注册内容
• 10.4 头部参数名称注册
• 10.4.1 注册内容
• 11 安全考虑
• 11.1 信任依据
• 11.2 签名或加密顺序
• 12 隐私考虑
• 13 参考
• 13.1 规范参考
• 13.2 信息性参考
• 附录A JWT例子
• a.1 JWT加密示例
• a.2 JWT嵌套示例
• 附录B JWTs到SAML关系断言
• 附录C JWTs到SWTs(简单Web token)关系

1.介绍

JWT 是一个简洁声明格式，同于空间受限的环境，如HTTP授权头部和URI查询参数。
JWT将声明编码为JSON对象用于传输。它使用一个JWS的数据结构或JWE的数据结构。
JWT与jot单词发音一样

2.术语

JWS定义规范

• JSON Web Signature(JWS)
• Base64uri Encoding
• Header parameter
• JOSE Header
• JWS Compact Serialization
• JWS payload
• JWS Signature
• Unsecured JWS

JWE定义规范

• JSON Web Encryption(JWE)
• Content Encryption Key(CEK)
• JWE Compact Serialization
• JWE Encrypted Key
• JWE Initialization Vector

Internet Security Glossary定义规范

• Ciphertext
• Digital Signature
• Message Authentication Code(MAC)
• Plaintext

JSON Web Token(JWT)

• 一个字符串的集合声明作为一个JSON对象编码于JWS或JWE结构内，使这个声明变为数字签名或MAC或加密

JWT Claims Set

• 包含由JWT传输的声明的JSON对象

Claim

• 关于某个主题的一条信息，一个声明表示由一个名称和值组成的

• Claim Name
  这个名称是声明的一部分，总是一个字符串类型

• Claim Value
  这个值是声明的一部分，一个声明的值可以是任意的JSON对象

• Nested JWT
  使用嵌套签名和/或加密的JWT，在嵌套的JWT中，被用作一个有效载荷或明文值分别包含JWS或JWE结构