参数传递机制之JWT

1. 什么是 JWT

JWT 其全称为:JSON Web Token,简单地说就是 JSON 在 Web 上的一种带签名的标记形式。官方的定义如下:

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

即:JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。

2. 有什么作用

对信息进行签名之后再进行传输有什么作用,JWT 就有什么作用。它能起的作用,决定了在项目的需求中是否有必要使用它,它自身的本质决定了它适合的场景。

本质上,JWT 跟自己对信息加个签名没有区别。

那使用它的理由是什么呢?

(1)它建立了一个标准并为多数人认识和接受,这样一来就可以形成标准库,使用者可以共享。

(2)它形成了一些最佳实践,这种实践过程包括了参数安全传递的诸多常见方面,如 exp 到期时间属性的定义来规定签名有效期等。按照最佳实践中对一些 JSON 属性的明确定义,再加上标准库对它的贯彻实现,会带来很多便利。

(3)将其作为 Token 放在请求的 header 中,作为无状态的鉴权方式很适合目前多站点应用的场景。

但最佳实践和其特性不能混为一谈,具体到应用场景,仍然可以利用其特性作适合该场景的其它发挥。

3. 参数访问控制演化

(1)直接传参

http://*/api?p1=*&p2=*

这种方式,不进行访问的权限的判断,公开可直接访问。

(2)带KEY传参

http://*/api?p1=*&p2=*&key=

这种方式需要知道正确的 KEY 才能访问,但 KEY 明文附在后面易泄露。

(3)带签名传参

这种方式,将 KEY 作为签名算法的加密条件,不明文显示,不知道 KEY 则无法生成相应的签名,感觉不错。不足在于,签名一次之后访问链接一直为有效会带有风险。

http://*/api?p1=*&p2=*&sign=

其中签名部分,如采用 md5 方式,key 作为运算的一部分。

sign=md5(p1+p2+key)

(4)带时间戳签名

参数中带上签名时的时间戳,时间戳会参与签名算法,服务端不仅检测签名的有效性,还会比较时间是否在合理范围内,如 5 分钟以内,如此一来,链接在一段时间之后就会失效。

http://*/api?p1=*&p2=*&timestamp=*&sign=

其中签名部分,如采用 md5 方式,time,key 均作为运算的一部分。

sign=md5(p1+p2+time+key)

(5)独立鉴权参数签名

将鉴权部分独立出来签名,这样的好处就是鉴权部分独立的判断过程,其它形参不再需要参与这个签名与判断过程。

参数可使用 JSON 形式,于是可以让其变成以下形式:

鉴权传输部分形式如:{p1:abcd,p2:abcd}.sign

其中,签名部分,如采用 md5 方式,将 JSON 字符串与 key 拼接运算,并且使用连接符.点,如下。

sign=md5({p1:abcd,p2:abcd}.key)

(6)带头部的独立鉴权部分

为了更加灵活的,将鉴权部分加个头部。头部用来干什么呢,可以指定签名算法,或以后可能要更多扩展参数用,如以下形式。

{alg:MD5}.{p1:abcd,p2:abcd}.sign

签名部分,为前两部分再连接上 key 一起运算。

sign=md5({alg:MD5}.{p1:,p2:}.key)

(7)最终标准化为 JWT 形式

头部称之为 header,数据部分称之为 payload,签名部分为 signature。

(7.1) header 不使用明文,采用其 base64 形式

(7.2) payload 不使用明文,采用其 base64 形式

(7.3) signature 为前两者(都是 base64 形式)通过 . 点连接,再采用 header 中指定的签名算法签名的结果。

(7.4) 最终形式为 base64(header).base64(payload).signature

(7.5) base64 考虑到URL编码,将=去掉,+号变成-,/变成_ 处理。

(7.6) 最终字符串通过作为请求 header 进行传输。

4. 最简实现

给定一个签名用的 sercretKey 和 payload,生成成符合要求的 JWT 字符串。多数时候,需求可能就是这样简单,至于签名算法,这里就使用一般默认的HS256。则需要的功能函数大致是:

func getJwt (payload){
    var content = base64({"alg":"HS256","typ":"JWT"}) + . + base64(payload)
    var signature = base46( sign(content, sercretKey)  )
    return content + . + sign
}

C# 的实例代码,这里给出一个 C# 的 JWT 辅助类,其中 JObject 引用了 Newtonsoft.Json 包。

    public class JWTHelper
    {
        #region 工具函数准备

        /// <summary>
        /// 对字符串 Base64 编码,并且替换 = + / 为 "" - _
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string Base64URL(string str)
        {
            return Convert.ToBase64String(Encoding.UTF8.GetBytes(str)).Replace("=", "").Replace("+", "-").Replace("/", "_");
        }

        /// <summary>
        /// 对字节数组 Base64 编码,并且替换 = + / 为 "" - _
        /// </summary>
        /// <param name="bs"></param>
        /// <returns></returns>
        public static string Base64URL(byte[] bs)
        {
            return Convert.ToBase64String(bs).Replace("=", "").Replace("+", "-").Replace("/", "_");
        }

        /// <summary>
        /// HMAC SHA256
        /// </summary>
        /// <param name="str"></param>
        /// <returns></returns>
        public static string HS256(string str, string key)
        {
            var encoding = new System.Text.UTF8Encoding();
            byte[] keyByte = encoding.GetBytes(key);
            byte[] messageBytes = encoding.GetBytes(str);
            using (var hmacsha256 = new HMACSHA256(keyByte))
            {
                byte[] hashmessage = hmacsha256.ComputeHash(messageBytes);
                return Base64URL(hashmessage);  
            }
        }

        #endregion

        /// <summary>
        /// 生成签名后的 JWT 最终字符串。
        /// 为了简化示例,这里使用签名算法就设定为:HS256
        /// header = {"alg":"HS256","typ":"JWT"}
        /// </summary>
        /// <param name="payload"></param>
        /// <param name="key"></param>
        /// <returns></returns>
        public static string Sign(JObject payload, String key)
        {
            JObject header = new JObject();
            header["alg"] = "HS256";
            header["typ"] = "JWT";

            string h = Base64URL(header.ToString(Formatting.None));
            string p = Base64URL(payload.ToString(Formatting.None));

            string s = HS256(h + "." + p, key);
            return String.Format("{0}.{1}.{2}", h, p, s);
        }
    }

使用以下代码测试一下:

JObject payload = new JObject();
payload["username"] = "xxx";
Console.Write(JWTHelper.Sign(payload, "123fd"));

得到结果

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6Inh4eCJ9.1C28A5CqMa70FLtUQh4pwSZWPlZhbQ-ZeYs38K_sqks

http://jwt.io/ 上,可以验证一下,得到了同样的结果。

5. 具体使用

显然,它也会存在一些问题,如通过 base64 解码看到明文,或者是在有效期内取得整个 token 进行访问等。所以使用是根据需要来的。而且,也可以在 JWT 上进一步加入自定义的新机制来应对更多的场景。

以下这篇文章列出了一些问题与趋势,可供参考。

http://baijiahao.baidu.com/s?id=1608021814182894637

更多细节可参考:http://sunnygy.com/cjsblog/p/9277677.html

posted @ 2019-07-02 17:34 三人行工作室 阅读(...) 评论(...) 编辑 收藏