JWT学习小结

JWT全称JSON-Web-Tokens,是一套应对Http其无状态且明文传递请求的特性的规范，保证请求的安全性。我们一般用它来在服务端和客户端之间传递用户的身份信息，实现状态保持。

1，相较于常见的session+cookie的实现方式，它有哪些优势呢？

　　Session: 每次用户登录认证通过后，我们的应用都要在服务端（通常为redis服务器中）存储用户的登录信息，并在响应中设置cookies中设置session的key值进行返回。这在服务器实现负载均衡时，增加负载均衡服务器的性能负担。而面对CSRF攻击时， 因为是基于cookie+session的方式来进行用户识别的, cookie一旦被截获，用户就会很容易受到跨站请求伪造的攻击。

　　JWT:

2，JWT的组成：

　　JWT是一串加密后的字符串，共由三部分组成，分别为：头部，载荷和签名信息。

　　头部(header)

{
    "alg": "HS256",  # 使用的签名算法
    "typ": "JWT",  # 令牌的类型
            }

　　载荷(payloader)，用于存放有效信息。

{
    "id": user.id,  # 接口中定义的需要返回的信息
    "mobile": user.mobile  # 同上
}

　　签名(signature)，第三部分是将header和payload用base64进行转码后的字符串拼接的结果用header中指明的算法进行加密再用base64转码。

def encode(payload, signer=None, encrypter=None):
    if signer and encrypter:
        raise SignAndEncryptError()

    headers = {'typ': 'JWT', 'alg': 'none'}
    if signer:
        #更新你所选用的算法，一般都是hs256
        headers.update(signer.headers)
    if encrypter:
        headers.update(encrypter.headers)

    #头部序列化
    headers_json = json.dumps(headers, separators=(',', ':'))

    #消息主体序列化
    payload_json = json.dumps(payload, separators=(',', ':'))

    #使用base64来编码
    header_b64 = b64encode(headers_json)
    payload_b64 = b64encode(payload_json)

    first_part = header_b64
    second_part = payload_b64
    third_part = ''

    if signer:
        #jwt 签名的生成方式. 他会把header playload的base64url编码加密后再次base64编码.
        third_part = b64encode(signer.sign(first_part + '.' +
                                                second_part))
    if encrypter:
        pass  # TODO

    #返回可用的JWT
    return first_part + '.' + second_part + '.' + third_part

def b64encode(data):
    return base64.urlsafe_b64encode(data).rstrip('=')

#使用hmac来加密

class HmacSha(JwsBase):
    def sign(self, signing_input, key=None):
        if not key:
            key = self.key
        if not key:
            raise KeyRequiredException()
        return hmac.new(key, signing_input, self.digestmod).digest()

3、JWT的防篡改

　　加密后的Token在下次请求时， 服务端通过加密生成的私钥，重新与前2部分组合再次加密，与第三部分进行对比，如果校验成功，则数据没有被修改。

4、JWT防止CSRF攻击

　　客户端使用 auth授权头认证，token存储在 cookie中，需要防止xss攻击。可以防止 csrf攻击，因为 csrf只能在请求中携带 cookie，而这里必须从 cookie中拿出相应的值并放到 authorization 头中。实际上cookie不能跨站（同源政策）被取出，因此可以避免 csrf 攻击。（适用于 ajax请求或者 api请求，可以方便的设置 auth头）。

　　也可以将token存储在 localstorage里面，需要防止xss攻击。实现方式可以在一个统一的地方复写请求头，让每次请求都在header中带上这个token， 当token失效的时候，后端肯定会返回401，这个时候在你可以在前端代码中操作返回登陆页面，清除localstorage中的token。（适用于 ajax请求或者 api请求，可以方便的存入 localstorage）。