Json Web Token身份認證

用戶身份認證一般有5種方式

• HTTP Basic authentication
  在發送請求時在HTTP頭中加入authentication字段，將用Base64編碼的用戶名和密碼作為值，每次發送請求的時候都要發送用戶名和密碼，實現比較簡單。

• Cookies
  向后臺發送用戶名和密碼，在用戶名和密碼通過驗證后，保存返回的Cookie作為用戶已經登錄的憑證，每次請求時附帶這個Cookie

• Signatures
  用戶拿到服務器給的私鑰，在發送請求前，將整個請求使用私鑰來加密，發送的將是一串加密信息，此方式只適用于API

• One-Time Passwords
  一次一密，每次登錄時使用不同的密碼，一般由服務端通過郵件將密碼發給用戶，這種登錄方式比較繁瑣

• JSON Web Token
  用戶發送按照約定，向服務端發送Header、Payload和Signature，并包含認證信息(密碼)，驗證通過后服務端返回一個token，之后用戶使用該token作為登錄憑證，適合于移動端和api

因為前后端分離的緣故，現在的后臺多數只提供數據部分，一般使用JSON格式，所以JSON Web Token是比較流行的認證方式。

JWT的認證方式相比其他的認證方式有一下優點：

• 信息可用HMAC或RSA加密，信息安全性較高

• 生成的密文短，密文可以包含所有用戶信息，認證過期時間或用戶權限等自定義信息

• 適合用于手機應用和單頁面應用的身份認證

• 使用靈活，一旦取得了JWT，可以通過POST方式或添加入HTTP頭中發送

JWT結構

JWT包含3個部分

• Header (頭部)

• Payload (負載)

• Signature (簽名)

負載部分就是具體的認證信息，通過修改這部分的內容來控制認證信息如用戶權限等。除了一些保留字段exp(過期時間)、aud、iss等外，使用方法跟普通Json一樣。

Signature

簽名，也就是密鑰，用來保證密文的安全強度

以上3部分都經過Base64Url處理后用下載地址 .分隔再使用HMAC SHA256或RSA加密為一段字符串

JWT使用流程

jwt diagram

客戶端POST用戶名和密碼到服務端，若對安全要求較高可以是加密后的用戶名或密碼，服務端把拿到的用戶名和密碼與數據庫中的對比，若相同則按照上面的流程生成JWT，然后返回客戶端。在此之后客戶端的所有請求，可以在Authorization HTTP頭或POST數據中附帶得到的JWT。服務端驗證JWT并解析出Payload下載地址 部分，以此來判斷用戶的權限。

JWT的使用方法很簡單，就拿node.js的包node-jsonwebtoken來說加密和驗證就兩個函數jwt.sign，jwt.verify并且jwt.io中提供了很多語言的JWT包。