【鉴权】无状态认证的利器：深入了解 JWT 的工作机制

引言

在当今的 Web 应用开发中，认证和授权是确保安全性的关键要素。随着分布式系统、微服务架构以及移动应用的广泛应用，如何高效、安全地进行身份验证成为了开发者必须面对的重要课题。JSON Web Token（JWT） 作为一种轻量级、无状态的认证方式，因其在分布式环境中的高效性、灵活性和易用性，被广泛应用于多个领域。

JWT 通过将经过加密签名的认证信息嵌入到请求的 HTTP 标头中，实现了跨服务、跨域的无缝认证。与传统的会话认证（Session-based Authentication）方式不同，JWT 不需要服务器保存会话信息，这使得它在微服务架构、单点登录（SSO）、跨域认证等场景下具有显著优势。

本篇文章将详细解析 JWT 的原理与结构，并结合实际代码示例，帮助开发者理解 JWT 在现代应用中的使用场景和最佳实践。同时，我们还将对比 JWT 与其他认证方式，提供全面的安全性分析，以帮助你在项目中正确实现和使用 JWT。

一、JWT 概述

JWT（JSON Web Token） 是一种开放标准（RFC 7519），定义了一种简洁、自包含的方式，用于在网络应用中传递声明。JWT 通常用于身份认证和信息交换，尤其适合无状态认证的场景，广泛应用于现代 Web 开发中。

JWT 的设计目标是提供一种轻量级、易于使用的认证机制，同时具备高效性和可扩展性。JWT 主要由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。其核心优势在于无状态认证，即所有用户认证信息都存储在 JWT 本身，无需依赖服务器端会话存储，这使得 JWT 在分布式系统中尤为适用。

JWT 的三大用途：

1. 认证：用户在登录后，JWT 作为身份验证的凭证，被用来验证用户的身份，防止未授权访问。
2. 授权：JWT 能够携带用户的权限信息，用于校验用户是否有权限访问特定资源。
3. 信息交换：JWT 不仅用于身份认证，还可以用于安全地传递信息。由于 JWT 包含签名部分，可以确保信息在传输过程中没有被篡改。

JWT 的主要特点：

• 无状态性：JWT 无需服务器存储会话信息，令牌本身包含所有的身份和权限信息。
• 跨域支持：JWT 可以在不同的域间传递，特别适用于微服务架构和跨域认证场景。
• 易于扩展：JWT 的载荷部分可以自定义，允许开发者根据需要存储各种信息。

通过这些特点，JWT 成为现代 Web 应用中认证与授权的标准方式之一，尤其在分布式系统、单点登录（SSO）和跨域认证等场景中，展现出极大的优势。

二、JWT 结构详解

JWT 的结构由三部分组成：头部（Header）、载荷（Payload） 和 签名（Signature）。每一部分都有其特定的作用，共同构成一个完整的 JWT。以下是 JWT 工作结构的详细解析：

2.1 头部（Header）

JWT 的头部部分包含元数据，通常包括两项关键信息：

• alg（签名算法）：指定用于签名的算法，常见的算法包括 HS256（HMAC 使用 SHA256）和 RS256（基于 RSA 的签名）。
• typ（令牌类型）：标明令牌的类型，通常值为 JWT，表示这是一个 JSON Web Token。

一个典型的头部示例：

{
  "alg": "HS256",
  "typ": "JWT"
}

头部部分通常会进行 Base64Url 编码，生成 JWT 的第一部分。

2.2 载荷（Payload）

JWT 的载荷部分承载了实际的数据或声明（Claims）。载荷的内容可以分为三种类型的声明：

• 注册声明：这些是 JWT 中的一些预定义声明，如：
  • iss（Issuer）：发行者
  • sub（Subject）：主题
  • exp（Expiration Time）：过期时间
• 公共声明：用户自定义的声明，可以用于携带用户信息、权限等。
• 私有声明：由客户端和服务器自定义，通常用于存储业务逻辑相关的信息。

一个典型的载荷示例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

其中：

• sub：用户的唯一标识符
• name：用户姓名
• iat：签发时间（单位：秒）

载荷部分同样需要进行 Base64Url 编码，生成 JWT 的第二部分。

2.3 签名（Signature）

JWT 的签名部分用于验证 JWT 的完整性和确保其内容未被篡改。签名的生成方式如下：

1. 将头部和载荷部分分别进行 Base64Url 编码。
2. 使用头部中指定的算法（如 HMACSHA256 或 RSA）对编码后的头部和载荷进行签名。
3. 签名部分是由 密钥 和编码后的头部、载荷通过加密算法生成的。

例如，对于 HS256 签名算法，签名的生成公式为：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

最终，JWT 的格式如下：

header.payload.signature

其中，header、payload 和 signature 三部分使用 . 分隔。

2.4 JWT 结构示意图

上图展示了JWT 的结各个组成部分及其相互关系。

解释说明：

1. Header（头部）通常包含类型（typ: JWT）和加密算法（alg: HS256）。
2. Payload（载荷）包含了实际的用户数据（如 sub、name、exp）。
3. Signature（签名）是使用 Base64Url 编码的头部和载荷与密钥进行加密后生成的。

2.5 JWT 示例

假设我们有以下用户信息：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516239022 + 3600
}

经过 Base64 编码后，生成的 JWT 可能如下所示：

Header:      eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload:     eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjE1MTYyMzk2MjJ9
Signature:   HMACSHA256(Header + Payload + SecretKey)

在这个例子中，JWT 由三部分组成：头部、载荷和签名，通过 . 连接形成完整的 JWT。

通过这三部分的组合，JWT 实现了信息的安全传输和完整性验证，使得它在现代 Web 应用中成为不可或缺的认证工具。

三、JWT 工作原理

JWT（JSON Web Token）是一种轻量级的身份验证机制，广泛应用于现代 Web 开发中。其主要作用是通过加密的令牌来验证用户身份和传递信息。

JWT 的工作原理可以简述为以下几个步骤：

1. 客户端请求登录：用户通过用户名和密码发送请求到服务器。
2. 服务器生成 JWT：服务器验证用户的身份后生成一个 JWT，并将其返回给客户端。
3. 客户端存储 JWT：客户端将 JWT 存储在 localStorage、sessionStorage 或 HTTP Cookie 中。
4. 客户端发送 JWT：在后续的请求中，客户端会在 HTTP 请求头的 Authorization 中携带 JWT。
5. 服务器验证 JWT：服务器通过解析 JWT 验证其合法性（通过签名）以及检查是否过期。
6. 访问资源：如果 JWT 验证通过，服务器允许访问资源。如果验证失败，则返回错误信息。

以下是 JWT 工作原理的详细解析：

3.1 客户端请求登录

用户通过提供用户名和密码向服务器发起登录请求。在大多数情况下，这个请求是通过 HTTP POST 请求的方式发送的。

• 请求示例：

  POST /login HTTP/1.1
  Host: example.com
  Content-Type: application/json
  
  {
    "username": "john_doe",
    "password": "password123"
  }
  

3.2 服务器生成 JWT

当服务器验证用户提供的凭证（用户名和密码）正确时，服务器会生成一个 JWT 令牌，并将其返回给客户端。这个令牌由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

• JWT 结构：

  Header.Payload.Signature
  

  • Header：包含令牌的类型（通常是 “JWT”）和加密算法（如 HMAC SHA256 或 RSA）。
  • Payload：包含声明（Claims），如用户的 ID、权限、过期时间等信息。
  • Signature：通过指定的算法对 Header 和 Payload 进行签名，确保令牌未被篡改。

服务器生成的 JWT 被返回给客户端，通常以 JSON 格式。

• 响应示例：

  {
    "token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"
  }
  

3.3 客户端存储 JWT

JWT 令牌一般会存储在客户端浏览器中，常见的存储方式有：

• localStorage：数据存储在浏览器的本地存储中，永久存在，除非手动删除。
• sessionStorage：数据存储在浏览器的会话存储中，关闭浏览器时即会丢失。
• Cookie：可以将 JWT 存储在 Cookie 中，并设置为 HttpOnly，以防止 JavaScript 访问。

3.4 客户端发送 JWT

当客户端需要访问受保护的资源时，会在 HTTP 请求的 Authorization 头中携带 JWT。一般采用以下格式：

• Authorization Header：Authorization: Bearer <JWT Token>

• 请求示例：

  GET /profile HTTP/1.1
  Host: example.com
  Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  

3.5 服务器验证 JWT

服务器在接收到客户端请求时，会从请求头中提取出 JWT，并对其进行验证。验证的过程包括：

• 签名验证：服务器使用相同的密钥或公钥对令牌的 Header 和 Payload 进行签名验证，确保令牌未被篡改。
• 有效性验证：服务器检查令牌是否过期，通常在 Payload 中会包含一个 exp（过期时间）字段。

如果验证通过，服务器就可以根据 Payload 中的信息来识别用户身份及其权限，进而执行相应的操作。

3.6 访问资源

当 JWT 验证成功后，服务器会允许客户端访问请求的资源。如果验证失败（如签名无效或令牌过期），则服务器会返回一个错误，提示客户端重新登录或请求新的 JWT。

• 响应示例：

  {
    "status": "success",
    "data": {
      "user": "John Doe",
      "email": "john@example.com"
    }
  }
  

3.7 JWT 工作流程图

以下是 JWT 工作流程的图示，帮助大家更直观地理解 JWT 的工作原理。

上图通过流程图的方式展示了用户登录、JWT 生成、存储、验证和访问资源的完整过程。

步骤说明：

1. 用户请求登录：客户端发送请求时携带用户名和密码。
2. 服务器验证：服务器检查用户名和密码是否匹配，验证成功后生成一个 JWT 令牌。
3. 生成并返回 JWT：如果认证成功，服务器将 JWT 返回给客户端。
4. 客户端存储 JWT：客户端将 JWT 存储在浏览器的 localStorage、sessionStorage 或 HTTP Cookie 中。
5. 客户端发送 JWT：每次向服务器请求受保护资源时，客户端在 Authorization 头部携带 JWT。
6. 服务器验证 JWT：服务器解析并验证 JWT 的合法性（检查签名和有效期等）。
7. 访问资源：如果 JWT 有效，服务器允许访问请求的资源；如果验证失败，则返回错误信息。

四、JWT 优缺点分析

JWT 是一种常用的身份验证机制，但它也有一些优缺点。在选择是否使用 JWT 进行身份验证时，需要根据实际需求来进行权衡。

4.1 优点

优点	说明
无状态认证	由于 JWT 不依赖于服务器存储会话状态，服务器每次请求时无需查询数据库或内存来验证用户身份，减少了存储压力。
跨域认证	JWT 支持跨域认证，适合在分布式系统、微服务架构中使用。不同子系统之间可以共享 JWT 进行认证。
灵活性	JWT 的 Payload 部分可以自定义，支持存储额外的信息，如用户的角色、权限、过期时间等。
可扩展性	可以方便地扩展 JWT，嵌入更多的数据，如用户自定义字段、权限列表、API 调用记录等，满足复杂的需求。
简洁性	JWT 是基于 JSON 格式的轻量级数据结构，易于理解和操作。
客户端存储	JWT 可以存储在客户端，如 Cookie 或 localStorage 中，减少了服务器端的负担。

4.2 缺点

缺点	说明
Token 泄露风险	如果 JWT 被泄露，攻击者可以伪造有效的 Token 进行身份验证，尤其是存储在客户端的 Token 容易受到 XSS 攻击。
过期后无效	JWT 过期后无法主动注销，客户端只能等待 Token 过期。若要提前失效，必须通过黑名单机制来管理。
无法撤销	一旦生成了 JWT，服务器无法主动撤销或删除该 Token，直到其过期。因此，管理 Token 生命周期变得尤为重要。
较大的负载	如果 JWT 中存储了大量数据，令牌本身可能会非常大，导致每次请求时需要传输更多的带宽。
没有自动刷新机制	JWT 本身没有内置的刷新机制，通常需要配合刷新 Token（Refresh Token）来实现会话续期，这增加了实现的复杂度。

五、JWT 在实践中的应用（Python 与 Go 示例）

5.1 Python 示例

安装依赖：

pip install pyjwt

生成 JWT 的示例：

import jwt
import datetime

# 密钥
secret_key = "my_secret_key"

# 载荷内容
payload = {
    "sub": "1234567890",
    "name": "John Doe",
    "iat": datetime.datetime.utcnow()
}

# 生成 JWT
token = jwt.encode(payload, secret_key, algorithm="HS256")

print(f"Generated JWT: {token}")

验证 JWT 的示例：

try:
    # 解码 JWT
    decoded_payload = jwt.decode(token, secret_key, algorithms=["HS256"])
    print(f"Decoded Payload: {decoded_payload}")
except jwt.ExpiredSignatureError:
    print("Token expired!")
except jwt.InvalidTokenError:
    print("Invalid token!")

5.2 Go 示例

安装依赖：

go get github.com/dgrijalva/jwt-go

生成 JWT 的示例：

package main

import (
"fmt"
"time"
"github.com/dgrijalva/jwt-go"
)

var secretKey = []byte("my_secret_key")

func main() {
// 创建声明
claims := jwt.MapClaims{
"sub": "1234567890",
"name": "John Doe",
"iat": time.Now().Unix(),
}

// 创建 JWT
token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)

// 签名并生成 JWT
tokenString, err := token.SignedString(secretKey)
if err != nil {
fmt.Println("Error signing the token: ", err)
return
}

fmt.Println("Generated JWT: ", tokenString)
}

验证 JWT 的示例：

package main

import (
"fmt"
"github.com/dgrijalva/jwt-go"
"log"
"strings"
)

func main() {
// 模拟一个 token
tokenString := "your_jwt_token_here"

// 解析 token
parsedToken, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("unexpected signing method: %v", token.Header["alg"])
}
return []byte("my_secret_key"), nil
})

if err != nil {
log.Fatal("Error parsing token: ", err)
return
}

// 校验 token 是否有效
if parsedToken.Valid {
fmt.Println("Token is valid!")
} else {
fmt.Println("Token is invalid!")
}
}

六、JWT 与其他认证方式对比

在实现 Web 应用的身份认证和授权时，JWT 是一种常见的选择，但并不是唯一的选择。它与其他认证方式，如基于会话（Session）的认证、OAuth 等，存在一定的差异。

6.1 JWT 与会话认证（Session Authentication）对比

特性	JWT认证	会话认证（Session）
认证存储位置	客户端（如 LocalStorage、Cookie）	服务器端（如内存或数据库）
状态性	无状态（Stateless）	有状态（Stateful）
跨域支持	支持（JWT 可以跨域使用）	不支持（需要使用 CORS）
性能	高效，不需要访问服务器存储	需要访问服务器端会话存储
扩展性	易于扩展，适用于微服务架构	不适合分布式系统
安全性	需要通过 HTTPS 防止泄漏	如果服务器泄漏会话 ID，容易被攻击

对比总结：

• JWT 更适合无状态的认证需求，特别是分布式和跨域场景。
• 会话认证 更适合传统的单一应用服务器的身份认证，它存储会话信息在服务器端，适合需要集中管理用户会话的场景。

6.2 JWT 与 OAuth 2.0 对比

OAuth 2.0 是一种授权框架，用于授权客户端应用访问资源，而 JWT 通常作为 OAuth 2.0 访问令牌（Access Token）的一种实现方式。OAuth 2.0 定义了多种授权方式，如授权码、客户端凭证、密码凭证等，而 JWT 则是用于携带和交换授权信息的标准格式。OAuth 2.0 适用于第三方授权场景，而 JWT 是身份认证和信息交换的有效方式。

特性	JWT认证	OAuth 2.0
协议	无协议，只是数据格式	完整的授权协议
使用场景	用户认证和信息交换	第三方授权，资源访问控制
身份验证	自包含的身份信息	依赖于授权服务器进行身份验证
授权方式	无授权机制，直接验证身份	定义了多种授权流程和机制
使用方式	直接传递 JWT，在客户端存储	通过授权码、令牌等机制授权
扩展性	灵活、可扩展，适用于微服务和跨域场景	可以集成更多服务和安全机制
适用场景	单点登录、API 权限控制、微服务架构等	第三方授权、OAuth 授权码流、客户端访问资源 、社交登录、API 授权等

对比总结：

• JWT 适用于需要简洁、无状态的身份验证和信息交换场景，尤其适合单点登录、API 权限控制和微服务架构。通常用作 OAuth 2.0 的访问令牌。
• OAuth 2.0 适用于复杂的授权场景，尤其是在需要第三方授权和跨域访问控制时。如允许用户授权第三方应用访问其资源，适用于社交登录、授权码流等场景。OAuth 2.0 可以使用 JWT 作为其访问令牌的格式，从而结合二者的优点。

总结

JWT 是一种高效、灵活且无状态的身份认证机制，特别适合分布式系统、微服务架构、跨域认证和单点登录等应用场景。在正确使用的情况下，JWT 能够显著提升身份认证和数据交换的效率，降低服务器的负担，并简化跨平台的认证流程。然而，开发者需要注意的是，尽管 JWT 具有诸多优势，但它的安全性也依赖于正确的密钥管理和防护措施。JWT 泄露或滥用可能导致严重的安全漏洞，因此必须遵循安全最佳实践，如短期有效期、使用 HTTPS 传输和定期更新密钥。

通过本篇文章的学习，你应该能够全面理解 JWT 的工作原理、应用场景及其优势与不足，并掌握如何在实际项目中实现安全、有效的 JWT 认证。如果你有任何问题或进一步讨论的需求，欢迎随时与我交流。

---

原文地址：https://blog.csdn.net/Stromboli/article/details/143691167

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！