最近写的项目中用到了JWT
鉴权,因此做个记录
原先的jwt-go
仓库已经不再维护,迁移到了github.com/golang-jwt/jwt/v4
但是网上大多数还是v3
版本的使用教程,建议使用更加安全的v4
1.什么是JWT
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该token也可直接被用于认证,也可被加密。
2.JWT的数据结构
实际的JWT
由三部分组成,如下图
中间用点(.
)分隔成三个部分。注意,JWT
内部是没有换行的,这里只是为了便于展示,将它写成了几行。JWT的三个部分依次如下:
Header
(头部)Payload
(负载)Signature
(签名)
写成一行就是Header.Payload.Signature
2.1 Header
Header
部分是一个 JSON
对象,描述 JWT
的元数据,通常是下面的样子
{
"alg": "HS256",
"typ": "JWT"
}
上面代码中,alg
属性表示签名的算法(algorithm
),默认是HMAC SHA256
(写成 HS256
);typ
属性表示这个令牌(token
)的类型(type
),JWT
令牌统一写为JWT
。
将上面的 JSON
对象使用 Base64URL
算法(详见后文)转成字符串就成了第一部分Header
。
2.2 Payload
Payload
部分也是一个 JSON
对象,用来存放实际需要传递的数据。JWT
规定了7个官方字段,供选用。
iss (issuer)
:签发人exp (expiration time)
:过期时间sub (subject)
:主题aud (audience)
:受众nbf (Not Before)
:生效时间iat (Issued At)
:签发时间jti (JWT ID)
:编号
我们还可以在这个部分自己定义字段,下面就是一个例子
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
注意,JWT
默认是不加密的,任何人都可以读到,所以不要把秘密信息放在这个部分。
这个 JSON
对象也要使用 Base64URL
算法转成字符串。
2.3 Signature
Signature
部分是对前两部分的签名,防止数据篡改。
首先,需要指定一个密钥(secret
)。这个密钥只有服务器才知道,不能泄露给用户。然后,使用 Header
里面指定的签名算法(默认是 HMAC SHA256
),按照下面的公式产生签名。