JWT详解

JWT 是什么

JWT不等价于JWS(JSON Web Signature)JWE(JSON Web Encryption)JWSJWEJWT的实现方式。

2020-09-19-19-18-44

JWS 的组成

2020-09-19-19-27-54

头部(Header)

头部用于描述关于该 JWT 的最基本的信息
例如:其类型、以及签名所用的算法等。
JSON 内容要经 Base64 编码生成字符串成为 Header

载荷(PayLoad)

  • payload 的五个字段都是由 JWT 的标准所定义的。
1
2
3
4
5
6
7
8
9
10
{
"iss": "Issuer JWT的签发者",
"aud": "Audience 接收JWT的一方",
"exp": "Expiration Time JWT的过期时间",
"nbf": "Not Before 在xxx之间,该JWT都是可用的",
"iat": "Issued At 该JWT签发的时间",
"sub": "Subject JWT的主题",
"jti": "JWT ID JWT的唯一身份标识",
"xxx": "自定义属性"
}

其它信息可以按需补充。 JSON 内容要经 Base64 编码生成字符串成为 PayLoad

这里顺便解释一下payloadpayload指的是有效的数据,假设一个post请求,body可以称为load(负载),实际有效的数据为payload。这里可以想象运油车,油车的罐子+油等于load(负载),油为payload(实际有效的负载)

签名(signature)

这个部分 headerpayload 通过 header 中声明的加密方式,使用密钥 secret 进行加密,生成签名。
JWS 的主要目的是保证了数据在传输过程中不被修改,验证数据的完整性。
但由于仅采用 Base64 对消息内容编码,因此不保证数据的不可泄露性。所以不适合用于传输敏感数据。

JWE 的组成

2020-09-19-19-31-36

JWE 的计算过程相对繁琐,不够轻量级,因此适合与数据传输而非 token 认证,但该协议也足够安全可靠,用简短字符串描述了传输内容,兼顾数据的安全性与完整性

  1. JOSE 含义与 JWS 头部相同。
  2. 生成一个随机的 Content Encryption Key (CEK)
  3. 使用 RSAES-OAEP 加密算法,用公钥加密 CEK,生成 JWE Encrypted Key
  4. 生成 JWE 初始化向量。
  5. 使用 AES GCM 加密算法对明文部分进行加密生成密文 Ciphertext,算法会随之生成一个 128 位的认证标记 Authentication Tag
  6. 对五个部分分别进行 base64 编码。

JWT

2020-09-19-19-38-23

该工具的地址为:https://jwt.io/#debugger-io

可以看到JWT不会对数据进行加密,因此不要在JWT中存放敏感信息。使用aud存面向的用户

详细的JWT文档见:https://tools.ietf.org/html/rfc7519