虾皮面试原题:如何使用JSON Web Token进行安全身份验证和授权的全面指南

在面试中如何有效地应用和理解这一身份验证机制。

JWT的定义及重要性

JWT(JSON Web Token)是现代应用程序中最广泛使用的跨域认证解决方案,属于一种基于Token的身份验证和授权机制。从JWT的名称可以看出,它本质上是一种以JSON规范化后的Token结构。

JWT能够包含身份验证所需的所有信息,因此,服务器无需存储Session信息,这显著提升了系统的可用性和可扩展性,减少了服务端的负担。它遵循RESTful API的“无状态”原则。此外,Token认证能够有效防止CSRF攻击,因为Token通常存储在localStorage中,JWT的使用过程中不涉及Cookie。

有关JWT的详细优缺点分析,请参考我之前的文章。此外,以下是RFC 7519对JWT的正式定义:

JSON Web Token (JWT)是一种紧凑的、URL安全的方式,用于在两方之间传递声明。JWT中的声明被编码为一个JSON对象,作为JSON Web Signature(JWS)结构的有效载荷,或作为JSON Web Encryption(JWE)结构的明文,从而使声明可以经过数字签名或使用消息认证码(MAC)进行完整性保护和/或加密。——JSON Web Token (JWT)

JWT的组成部分

JWT实际上是由三个Base64编码的部分通过(.)分隔而成:

  1. Header(头部):描述JWT的元数据,定义生成签名所使用的算法以及Token的类型。
  2. Payload(有效载荷):存放实际需要传递的数据。
  3. Signature(签名):服务器通过Payload、Header和一个密钥(Secret)使用Header中指定的签名算法(通常是HMAC SHA256)生成。

JWT看起来通常是这样的格式:xxxxx.yyyyy.zzzzz

示例

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.  
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.  
SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

你可以通过jwt.io对JWT进行解码,从中获得Header、Payload和Signature三部分。

Header通常由两部分组成:

  • typ(类型):表示令牌类型,即JWT。
  • alg(算法):签名算法,例如HS256。

示例:

{  
  "alg": "HS256",  
  "typ": "JWT"  
}

JSON格式的Header被转换为Base64编码,成为JWT的第一部分。

Payload

Payload也是JSON格式的数据,包含了Claims(声明,关于JWT的相关信息)。

Claims分为三种类型:

  • Registered Claims(注册声明):一些预定义的声明,建议使用但不是强制性的。
  • Public Claims(公有声明):JWT签发方可以自定义的声明,建议在IANA JSON Web Token Registry中定义。
  • Private Claims(私有声明):JWT签发方自定义的声明,更符合项目需求。

常见的注册声明包括:

  • iss(签发者)
  • iat(签发时间)
  • sub(主题)
  • aud(接收方)
  • exp(过期时间)
  • nbf(生效时间)
  • jti(JWT ID)

示例

{  
  "uid": "ff1212f5-d8d1-4496-bf41-d2dda73de19a",  
  "sub": "1234567890",  
  "name": "John Doe",  
  "exp": 15323232,  
  "iat": 1516239022,  
  "scope": ["admin", "user"]  
}

注意,Payload部分默认不加密,切勿存放隐私信息!

Signature

Signature部分是对前两部分的签名,用以防止Token被篡改。签名的生成需要:

  • Header + Payload。
  • 存放在服务器的密钥(务必保护好)。
  • 签名算法。

签名的计算公式如下:

HMACSHA256(  
  base64UrlEncode(header) + "." +  
  base64UrlEncode(payload),  
  secret)

计算出签名后,将Header、Payload和Signature拼接成一个字符串,每部分用“点”(.)分隔,构成JWT的第三部分。

如何基于JWT进行身份验证?

在基于Token的身份验证系统中,服务器会通过Payload、Header和Secret创建Token,并将其发送给客户端。客户端接收到Token后,将其存储在Cookie或localStorage中,随后所有请求都会携带此Token。

简化流程如下:

  1. 用户向服务器发送用户名、密码和验证码以登录。
  2. 如果验证通过,服务端将返回已签名的Token。
  3. 用户在后续请求中在Header中携带此Token。
  4. 服务端解析Token并从中获取用户信息。

两点建议:

  1. 将Token存放在localStorage中,避免CSRF风险。
  2. 使用HTTP Header中的Authorization字段传递Token(格式:Authorization: Bearer Token)。

有关JWT身份验证的更多案例,可参考spring-security-jwt-guide。

JWT如何防止Token被篡改?

有了签名,即便Token被泄露,攻击者也无法同时篡改Signature、Header和Payload。服务器解析Token后,会根据Header和Payload生成一个新的Signature,并与Token中的Signature进行比对。若一致,则证明Header和Payload未被修改。

然而,如果服务器的密钥被泄露,攻击者可以篡改Signature、Header和Payload,因此,密钥的安全至关重要。JWT的安全性核心在于签名,而签名的安全则依赖于密钥的保护。

如何增强JWT的安全性?

  1. 使用安全性高的加密算法。
  2. 采用成熟的开源库,避免重复造轮子。
  3. Token存放在localStorage中,而非Cookie中,以防CSRF风险。
  4. 切勿在Payload中存储隐私信息。
  5. 确保密钥的安全,绝不要泄露。
  6. Payload中应包含exp(过期时间),避免JWT永久有效且有效期不宜过长。