Token存储方式JWT

JWT全称json web token,是一种基于JSON的开放标准(RFC 7519)协议,适用场景比如现在流行的分布式环境当中，非常适用跨平台应用程序。

比较

• 传统的Session是保存在服务器当中,或者内存数据库。
• JWT保存的则是在客户端中。

结构

JWT由3个部分组成，用.分隔
* Header
* Payload
* Signature

JWT通常看起来像下面一样

xxxxx.yyyyy.zzzzz

Header

第一部分是请求头由两部分组成，alg与typ,第一个指定的是算法，第二指定的是类型。

例如：

{  "alg": "HS256",  "typ": "JWT"}

Payload

第二部分是主体信息组成,用来存储JWT基本信息，或者是我们的信息。

例如：

{  "sub": "1234567890",  "name": "John Doe",  "admin": true}

Signature

第三部分主要是给第一部分跟第二部进行签名使用的,用来验证是否是我们服务器发起的Token，secret是我们的密钥。

下面例子使用HMAC SHA256算法进行签名

HMACSHA256(  base64UrlEncode(header) + "." +  base64UrlEncode(payload),  secret)

真正的JWT看起来像下面例子一样

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJmb28iOiJiYXIiLCJpYXQiOjE1MTIyOTg4MDZ9.76mzRRk8CQfusjwxUMnIrME5ITyAPnNMdieJZhzaMc8

JWT工作原理

JWT SDK库支持

• .NET
• Python
• Node.js
• Java
• JavaScript
• Perl
• Ruby
• Elixir
• Go
• Haskell
• Rust
• Lua
• Scala
• D
• Clojure
• Objective-C
• Swift
• C
• kdb+/Q
• Delphi
• PHP
• Crystal
• 1C

JWT 主要依靠签名核心，也可自实现签名验证,主体信息存放。

评估

• 传统Cookie Session
  优点：有成熟的存储方案,Session存储中使用最多的方案。
  缺点：分布式环境中,会话一致是痛点。
• JWT
  优点：分布式环境。
  缺点：运算,不易控制攻击的Token。

虽然它们两个各有缺点,但只要把他们优点相互使用上,基本就是一个成熟稳定的解决方案了。

Node.js 例子

mkdir jwtcd jwtnpm initnpm install jsonwebtoken --save

cat index.js

var jwt = require('jsonwebtoken');var token = jwt.sign({foo:'bar'}, 'lake');console.log(token)

官方已经提供很全的语言 例子