用户身份认证一般有5种方式

  • HTTP Basic authentication
    在发送请求时在HTTP头中加入authentication字段,将用Base64编码的用户名和密码作为值,每次发送请求的时候都要发送用户名和密码,实现比较简单。

  • Cookies
    向后台发送用户名和密码,在用户名和密码通过验证后,保存返回的Cookie作为用户已经登录的凭证,每次请求时附带这个Cookie

  • Signatures
    用户拿到服务器给的私钥,在发送请求前,将整个请求使用私钥来加密,发送的将是一串加密信息,此方式只适用于API

  • One-Time Passwords
    一次一密,每次登录时使用不同的密码,一般由服务端通过邮件将密码发给用户,这种登录方式比较繁琐

  • JSON Web Token
    用户发送按照约定,向服务端发送HeaderPayloadSignature,并包含认证信息(密码),验证通过后服务端返回一个token,之后用户使用该token作为登录凭证,适合于移动端和api

因为前后端分离的缘故,现在的后台多数只提供数据部分,一般使用JSON格式,所以JSON Web Token是比较流行的认证方式。

JWT的认证方式相比其他的认证方式有一下优点: - 信息可用HMAC或RSA加密,信息安全性较高 - 生成的密文短,密文可以包含所有用户信息,认证过期时间或用户权限等自定义信息 - 适合用于手机应用和单页面应用的身份认证 - 使用灵活,一旦取得了JWT,可以通过POST方式或添加入HTTP头中发送

Array.map
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
function $initHighlight(block, cls) {
  try {
    if (cls.search(/\bno\-highlight\b/) != -1)
      return process(block, true, 0x0F) +
             ` class="${cls}"`;
  } catch (e) {
    /* handle exception */
  }
  for (var i = 0 / 2; i < classes.length; i++) {
    if (checkCondition(classes[i]) === undefined)
      console.log('undefined');
  }
}

export  $initHighlight;

JWT结构

JWT包含3个部分

  • Header (头部)
  • Payload (负载)
  • Signature (签名)

Header头部

{
  "alg": "HS256",
  "typ": "JWT"
}

JWT的头部是固定的,alg是算法的意思表示该JWT使用的是何种算法加密。typ字段值是固定的JWT

Payload

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

负载部分就是具体的认证信息,通过修改这部分的内容来控制认证信息如用户权限等。除了一些保留字段exp(过期时间)、audiss等外,使用方法跟普通Json一样。

Signature

签名,也就是密钥,用来保证密文的安全强度

以上3部分都经过[Base64Url]()处理后用.分隔再使用HMAC SHA256RSA加密为一段字符串

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

具体的使用在JWT.IO上有演示

JWT使用流程

jwt diagram

客户端POST用户名和密码到服务端,若对安全要求较高可以是加密后的用户名或密码,服务端把拿到的用户名和密码与数据库中的对比,若相同则按照上面的流程生成JWT,然后返回客户端。在此之后客户端的所有请求,可以在Authorization HTTP头或POST数据中附带得到的JWT。服务端验证JWT并解析出Payload部分,以此来判断用户的权限。

JWT的使用方法很简单,就拿node.js的包node-jsonwebtoken来说加密和验证就两个函数jwt.signjwt.verify并且jwt.io中提供了很多语言的JWT包。

参考链接