JWT 全称叫 JSON Web Token, 是一个非常轻巧的规范。这个规范允许我们使用 JWT 在用户和服务器之间传递安全可靠的信息。
jwt 使用场景jwt 用图广泛,例如授权、鉴权等。具体一点的话,假如我们有一个 A 用户想要邀请某用户进入自己的群组,此时 A 用户需要生成一条邀请链接,链接内容大致如下: https://host/group/{group_id}/invite/{invite_user}
此时这个链接点击进去虽然可以实现让用户加入群组,但是用户可以随意更改这个链接的参数,例如改改 group 后面的ID,从而加入其他任意群组,改改 invite 后面的邀请人等等操作。所以这种 URL 并不是安全的,那么这种情况下,我们就可以使用 jwt 来实创建一个安全的邀请链接了。
首先 URL 要简单改一下, https://host/group/invite/{token}
可以看到我们去掉了 groupId 和 inviteUser 参数,添加了一个 token 参数,可想而知, groupId 和 inviteUser 应该是被包含进 token 里面了,如何实现这个看似很神奇的 token 呢? 我们来看看 jwt 的原理吧。
在讲 jwt 原理之前得先知道 jwt 由哪些东西组成。
jwt 组成
一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
头部 (Header)
JWT 需要一个头部,用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等。这也可以被表示成一个 JSON 对象,如:
{"typ": "JWT","alg": "md5"
}
将上面的 json 字符串使用 base64 进行编码后,可以得到一下内容,我们称其为 JWT 的头部(Header)。
eyJ0eXAiOiJqd3QiLCJhbGciOiJtZDUifQ==
载荷(Payload)
我们先将上面的邀请入群的操作描述成一个 JSON 对象。其中添加了一些其他的信息,帮助今后收到这个 JWT 的服务器理解这个JWT。
{"sub": "1","iss": "http://host/group/invite","iat": 1451888119,"exp": 1454516119,"nbf": 1451888119,"jti": "37c107e4609ddbcc9c096ea5ee76c667","group_id": 1,"invite_user": "A"
}
这里面的前6个字段都是由JWT的标准所定义的。
- sub: 该 JWT 所面向的用户
- iss: 该 JWT 的签发者
- iat(issued at): 在什么时候签发的 token
- exp(expires): token 什么时候过期
- nbf(not before):token 在此时间之前不能被接收处理
- jti:JWT ID为web token 提供唯一标识
将上面的 json 字符串使用 base64 进行编码后,可以得到一下内容,我们称其为 JWT 的载荷(Payload)。
eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvOiIsImV4cCI6MTUyNzY2NzY2MywiaWF0IjoxNTI3NjY0MDYzLCJuYmYiOjE1Mjc2NjQwNjMsImdyb3VwX2lkIjoxLCJpbnZpdGVfdXNlciI6IkEiLCJqdGkiOiJlMjE4ZTJhZDdlYTdmZjUzYTVhM2RlZjA0MmFjMjM4NCJ9
签名(Signature)
在签名之前我们需要先得到用于签名的字符串, 将头部和载荷使用 . 进行拼接(头部在前), 得到用于签名的字符串
eyJ0eXAiOiJqd3QiLCJhbGciOiJtZDUifQ==.eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvOiIsImV4cCI6MTUyNzY2NzY2MywiaWF0IjoxNTI3NjY0MDYzLCJuYmYiOjE1Mjc2NjQwNjMsImdyb3VwX2lkIjoxLCJpbnZpdGVfdXNlciI6IkEiLCJqdGkiOiJlMjE4ZTJhZDdlYTdmZjUzYTVhM2RlZjA0MmFjMjM4NCJ9
然后使用签名方法对用于签名的字符串进行签名, 得到如下字符串,即 签名(Signature)
NDljMzljOTkyOGNmYWU1NGEyZDYzMTk5NTNlNGEwZDA=
最后把用于签名的字符串和签名使用 . 进行拼接(签名在后), 即可得到 一个完整的 token。但是,此时的 token 没有带上签发者特有的标志,是可以被伪造的,至于如何解决这个问题我们下面 jwt 具体实现会讲。
jwt 原理
jwt 如何保证安全 ?
上面说完 jwt 组成,相信你已经知道 jwt 大概是个啥子东西了 --- 就是一个字符串!!!
那么这个字符串如何保证不被篡改呢 ? 这里就要引入 secret 了。
回到上面的例子,邀请用户入群这个场景,虽然我们上面把 参数改成了 token 这种形式,但是你可能会发现,这样的 token 别人捕获了之后,任然可以自己伪造一个类似的 token ,因为此时的签名(Signature)并没有签发者特有的身份信息,所有数据都是明文的,所以这样签名是不安全的,应该加上 secret 进行签名。
签发者需要准备一个可以确认自己身份的字符串,这个字符串我们称之为 secret 。以 md5 作为签名方法为例(并不建议使用 md5 作为签名方法),我们只需要将上面准备的 用于签名的字符串简单的与 secret 进行拼接,然后进行 md5 计算,这时候得到的签名是受 secret 值影响的,所以即便他人捕获了之后 token,他仍然不能随意篡改 token 的内容,因为他不知道 secret 和拼接方法,故此时的 token 是安全的,不可被恶意篡改的。
$signatureString = 'pen'; // 原始数据
$secret = 'apple'; // 签发者 secret$originSignature = md5($signatureString .'-'. $secret);
print_r($signature); // apple-pen $signatureString = 'pen'; // 原始数据
$secret = 'pineapple'; // 不一样的 secret $fakeSignature = md5($signatureString .'-'. $secret);
print_r($signature); // pineapple-pen
// 可以看到不一样的 secret 会生成完全不一样的签名,这样我们的数据就可以保证不能被随意篡改了~
jwt 传输的数据会泄露 ?
是的,jwt 的头部和载荷字段都可以被解码(base64 属于编码,是可以被解码的)。所以并不建议用 jwt 传输敏感信息,例如密码,因为这很容易被捕获后解码,从而被窃取。
secret 一个字符串不足以描述签发者信息 ?
我们可以将 签发者信息描述成一个 json ,然后对这个 json 字符串进行编码,这样同样可以得到一个 secret 字符串。
jwt 实现
先来一个最粗暴的 jwt 实现
最简单粗暴的 jwt for php 实现
class JWT
{protected $headers;protected $payload;/*** @return array*/public function getHeaders(): array{return $this->headers;}/*** @return array*/public function getPayload(): array{return $this->payload;}public function __construct(array $headers, array $payload){$this->setHeaders($headers);$this->setPayload($payload);}public function setHeaders(array $headers): void{$this->headers = $headers;}public function setPayload(array $payload): void{$this->payload = $payload;}/*** 获取用于签名的字符串** @return string*/public function signatureStr(): string{$headersStr = $this::encodeStr(json_encode($this->headers));$payloadStr = $this::encodeStr(json_encode($this->payload));return "{$headersStr}.{$payloadStr}";}/*** 编码** @param string $string** @return string*/protected static function encodeStr(string $string): string{return rtrim(strtr(base64_encode($string), '+/', '-_'), '=');}/*** 解码** @param string $string** @return string*/protected static function decodeStr(string $string): string{return base64_decode(strtr($string, '-_', '+/'));}/*** 签名,此时的 secret 为 qbhy** @param string $string** @return string*/protected static function signature(string $string): string{return md5($string . 'qbhy');}/*** 校验签名** @param string $signStr* @param string $sign** @return bool*/protected static function checkSignature(string $signStr, string $sign): bool{return static::signature($signStr) === $sign;}/*** 生成 token** @return string*/public function token(): string{$signStr = $this->signatureStr();$token = $signStr . '.' . $this::signature($signStr);return $token;}/*** 从 token 中获取数据** @param string $token** @return \App\Modules\JWT\JWT* @throws \App\Modules\JWT\JWTException*/public static function fromToken(string $token): JWT{$arr = explode('.', $token);if (count($arr) !== 3) {throw new JWTException('token 错误');}if (!static::checkSignature("{$arr[0]}.{$arr[1]}", $arr[2])) {throw new JWTException('签名错误');}$headers = json_decode(static::decodeStr($arr[0]), true);$payload = json_decode(static::decodeStr($arr[1]), true);return new static($headers, $payload);}}
simple-jwt
这里先安利一下我写的一个基于 php 的 jwt 扩展包 --- 96qbhy/simple-jwt , 这个包实现了完整的 jwt 规范,开箱即用,你可以基于 96qbhy/simple-jwt 来给你的应用添加 jwt 相关功能。
我把 simple-jwt 拆分成,Encoder(编码器) 、Encrypter(签名器) 、JWT、JWTManager 四部分,你可以自行扩展 Encoder、Encrypter,从而实现自己的编码和加密方法,感兴趣的同学可以去 github 看看源码 96qbhy/simple-jwt 。有问题欢迎与我讨论,同时欢迎 Issue 和 PR 。
如有错误欢迎指出,谢谢。
京公网安备 11010802041100号