JWT身份认证原理介绍

• 传统的身份认证特点
  
• JWT的身份认证特点
  
• JWT的结构解析
  
• JWT 的工作流程
  
• 安全注意事项
  

JWT可以看成是一串由多个JSON信息串拼接成的Token。简单记忆就是：头 + 体 + 签名。

• Header（头部）
  作用：描述令牌的基本信息，如类型（即 JWT）和所使用的签名算法（如 HMAC SHA256 或 RSA）。
  内容：一个 JSON 对象，例如 {"alg": "HS256", "typ": "JWT"}
  存储方式：这个 JSON 对象会经过 Base64Url 编码，形成 JWT 的第一部分（xxxxx）。
  
• Payload（负载）
  作用：携带你想要传递的“声明”（Claims）。声明就是关于实体（通常是用户）的可公开的信息 、 数据信息。
  内容：一个 JSON 对象，包含三种类型的“声明”（Claims）：
  
  
  
  • 注册声明（Registered claims）：JWT预定义的一些标准字段，非强制但推荐使用。常见的有：
    
    
    
    • iss (issuer)：签发者
      
    • exp (expiration time)：过期时间
      
    • sub (subject)：主题
      
    • aud (audience)：接收方
      
    • iat （issued at time）：JWT 签发时间
      
    • exp （expiration time）：JWT 的过期时间
      
    • ......
      
    
    
  • 公开声明(Public Claims)
    已经在一个公共的注册表中（如 IANA JWT Registry）注册过，或者使用一个能避免冲突的名字（如包含一个完整的URL）。
    
  • 私有声明(Private Claims)
    私下约定的自定义声明。它们既不是注册声明，也没有按照公共声明的方式去避免名字冲突。
    
  存储方式：这个 JSON 对象也会经过 Base64Url 编码，形成 JWT 的第二部分（yyyyy）。
  ⚠️ 重要提示：Header 和 Payload 只是经过编码（Base64Url），并没有加密！ 任何人都可以解码它们并看到原始内容。因此，绝对不能在 Payload 中放置密码等敏感信息。这里也是一个安全检测项。
  
  
• Signature（签名）
  作用：这是 JWT 最核心的部分，用于防止令牌被篡改，确保我们信任其内容。
  生成方式：将编码后的 Header、编码后的 Payload、以及一个密钥（Secret） 通过 Header 中指定的签名算法（如 HS256）进行签名。
  伪代码：Signature = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
  验证方式：服务器收到 JWT 后，会用同样的密钥和算法对前两部分重新生成一个签名。如果新生成的签名与 JWT 中附带的第三部分签名完全一致，则证明令牌未被篡改（因为攻击者没有密钥，无法生成有效签名）。同时，也证明了发送者拥有密钥（通常是签发令牌的服务器）。
  

这个流程展示了 JWT 如何实现无状态的身份验证，客户端只需在每次请求中携带 token，服务器通过验证签名和声明来判断请求的合法性，无需有一台中央服务器来维护用户会话状态。

• 用户登录：用户向认证服务器发送用户名和密码。
  1. POST /api/login HTTP/1.1
  2. Host: example.com
  3. Content-Type: application/json
  5. {
  6.   "username": "alice",
  7.   "password": "password123"
  8. }

  复制代码
• 验证凭据：认证服务器验证用户名和密码是否正确。
  
• 创建 JWT：验证成功后，服务器生成 JWT。其中：
  
  
  
  • Header 指定算法。
    1. {
    2.   "alg": "HS256",
    3.   "typ": "JWT"
    4. }
    5. → Base64Url 编码后: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

    复制代码
  • Payload 包含用户ID、角色、过期时间等信息。
    1. {
    2.   "sub": "1234567890",
    3.   "name": "Alice",
    4.   "iat": 1516239022,
    5.   "exp": 1516242622
    6. }
    7. → Base64Url 编码后: eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkFsaWNlIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjE1MTYyNDI2MjJ9

    复制代码
  • Signature 使用一个只有服务器知道的密钥（Secret），根据 Header 和 Payload 生成。
    1. HMACSHA256(
    2.   base64UrlEncode(header) + "." + base64UrlEncode(payload),
    3.   "your-256-bit-secret" // 服务器密钥
    4. )
    5. → 计算得到签名: SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

    复制代码
  
  
• 返回 JWT：服务器将生成的 JWT 返回给客户端（通常是放在 HTTP 响应的 Authorization 头或 Body 中）。
  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkFsaWNlIiwiaWF0IjoxNTE2MjM5MDIyLCJleHAiOjE1MTYyNDI2MjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
  
• 客户端存储：客户端（通常是浏览器）收到后，将其存储起来（常用 localStorage 或 sessionStorage）。
  
• 携带 JWT 发起请求：此后，客户端向受保护的 API 发起的任何请求，都必须在 HTTP 请求头中带上 JWT（通常使用 Authorization: Bearer  格式）。
  
• 重新计算签名：服务器验证 JWT：API 服务器收到请求：
  
  
  
  • 7.1 检查签名：使用相同的密钥对 JWT 的前两部分重新计算签名，并与第三部分对比，验证令牌是否有效且未被篡改。
    
  • 7.2 检查有效期：检查 Payload 中的 exp 字段，确保令牌没有过期。
    
  • 7.3 检查签发者（可选）：检查 iss 字段是否可信。
    
  
  
• 返回响应：验证通过后，服务器认为请求来自一个已认证的用户，并根据 Payload 中的信息（如用户角色）处理请求并返回结果。