基于JWT的无状态分布式授权【本文摘自智车芯官网】

简介

JWT是一种用于HTTP交互双方之间传递安全信息的简洁的、安全的表述性声明规范。JWT作为一个开发的标准，它定义了一种简洁的，自包含的方法用于通信双发之间以JSON形式安全传递。且因为数字证书的存在，这些信息是可信的，它使用公用的HMAC算法进行签名校验。它的简洁在于可以再HTTP请求时包含再Header中发送，因为数据量小所以不会影响传输效率，并且它的内容承载了用户自定义的一些必要数据且不能被篡改。

JWT的结构

JWT包含了使用“.”分隔的三部分： Header 头部 Payload 负载 Signature 签名

在Header中通常包含了两部分：token类型和采用的加密算法。{ "alg": "HS256", "typ": "JWT"}

Payload包含了Claim，它是一些自定义的实体信息。

Signature签名使用HMACSHA256算法,创建方式如下： HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret) 签名用于验证消息的发送者以及消息是没有经过篡改的。完整的JWT格式如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJMb2dpbkluZm8iOnsiVXNlcklkIjo0MywiVXNlclR5cGUiOjAsIkFwcElkIjoxMDMsIkxvZ2luTmFtZSI6IjE1MDE5MzY5MTUwIn0sImV4cCI6MTUyNjY0NDE1Mi4wfQ.jRN7WsEnqhmjJn6KaQzAL4lr3ZkE-WwmLBD_iXqIAWc

JWT部署

客户端请求授权服务器获取Token后，使用该Token去访问实现了JWT认证的应用服务器。Token中用户可以保存一些自定义信息，应用服务器用密钥去解析Token后获取到请求用户的信息了,很方便的解决了跨域授权的问题,因为跨域无法拿不到Cookie就无法认证，用JWT可以很好的解决此问题。具体实现如下

总结

优点：

1、完全分布式，跨平台，应用系统均可采用不同的语言来开发；

2. 应用系统系统A和系统B，可实现服务端无状态方式。

缺点：

1、若攻击者拿到Token就可以访问服务器直到过期，需要设置适当的过期时间和其他安全方式保证Token的安全性。

本文摘自智车芯官网：http://www.thinkobd.cn/