最近了解下基于 Token 的身份驗(yàn)證�����,跟大伙分享下。很多大型網(wǎng)站也都在用�����,比如 Facebook,Twitter���,Google+,Github 等等���,比起傳統(tǒng)的身份驗(yàn)證方法�����,Token 擴(kuò)展性更強(qiáng)����,也更安全點(diǎn)����,非常適合用在 Web 應(yīng)用或者移動(dòng)應(yīng)用上��。Token 的中文有人翻譯成 “令牌”�����,我覺(jué)得挺好,意思就是����,你拿著這個(gè)令牌,才能過(guò)一些關(guān)卡��。
傳統(tǒng)身份驗(yàn)證的方法
HTTP 是一種沒(méi)有狀態(tài)的協(xié)議���,也就是它并不知道是誰(shuí)是訪問(wèn)應(yīng)用���。這里我們把用戶看成是客戶端�����,客戶端使用用戶名還有密碼通過(guò)了身份驗(yàn)證�,不過(guò)下回這個(gè)客戶端再發(fā)送請(qǐng)求時(shí)候�����,還得再驗(yàn)證一下。
解決的方法就是��,當(dāng)用戶請(qǐng)求登錄的時(shí)候,如果沒(méi)有問(wèn)題�,我們?cè)诜?wù)端生成一條記錄,這個(gè)記錄里可以說(shuō)明一下登錄的用戶是誰(shuí)��,然后把這條記錄的 ID 號(hào)發(fā)送給客戶端,客戶端收到以后把這個(gè) ID 號(hào)存儲(chǔ)在 Cookie 里����,下次這個(gè)用戶再向服務(wù)端發(fā)送請(qǐng)求的時(shí)候�,可以帶著這個(gè) Cookie ����,這樣服務(wù)端會(huì)驗(yàn)證一個(gè)這個(gè) Cookie 里的信息���,看看能不能在服務(wù)端這里找到對(duì)應(yīng)的記錄��,如果可以,說(shuō)明用戶已經(jīng)通過(guò)了身份驗(yàn)證�,就把用戶請(qǐng)求的數(shù)據(jù)返回給客戶端����。
上面說(shuō)的就是 Session����,我們需要在服務(wù)端存儲(chǔ)為登錄的用戶生成的 Session ,這些 Session 可能會(huì)存儲(chǔ)在內(nèi)存�,磁盤��,或者數(shù)據(jù)庫(kù)里。我們可能需要在服務(wù)端定期的去清理過(guò)期的 Session �����。
基于 Token 的身份驗(yàn)證方法
使用基于 Token 的身份驗(yàn)證方法,在服務(wù)端不需要存儲(chǔ)用戶的登錄記錄����。大概的流程是這樣的:
- 客戶端使用用戶名跟密碼請(qǐng)求登錄
- 服務(wù)端收到請(qǐng)求�,去驗(yàn)證用戶名與密碼
- 驗(yàn)證成功后����,服務(wù)端會(huì)簽發(fā)一個(gè) Token�,再把這個(gè) Token 發(fā)送給客戶端
- 客戶端收到 Token 以后可以把它存儲(chǔ)起來(lái)�����,比如放在 Cookie 里或者 Local Storage 里
- 客戶端每次向服務(wù)端請(qǐng)求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 Token
- 服務(wù)端收到請(qǐng)求��,然后去驗(yàn)證客戶端請(qǐng)求里面帶著的 Token����,如果驗(yàn)證成功��,就向客戶端返回請(qǐng)求的數(shù)據(jù)
JWT
實(shí)施 Token 驗(yàn)證的方法挺多的�,還有一些標(biāo)準(zhǔn)方法����,比如 JWT,讀作:jot ��,表示:JSON Web Tokens ����。JWT 標(biāo)準(zhǔn)的 Token 有三個(gè)部分:
- header
- payload
- signature
中間用點(diǎn)分隔開(kāi)����,并且都會(huì)使用 Base64 編碼�,所以真正的 Token 看起來(lái)像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
Header
header 部分主要是兩部分內(nèi)容�,一個(gè)是 Token 的類型,另一個(gè)是使用的算法���,比如下面類型就是 JWT��,使用的算法是 HS256。
{
"typ": "JWT",
"alg": "HS256"
}
上面的內(nèi)容要用 Base64 的形式編碼一下����,所以就變成這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
Payload 里面是 Token 的具體內(nèi)容����,這些內(nèi)容里面有一些是標(biāo)準(zhǔn)字段���,你也可以添加其它需要的內(nèi)容�����。下面是標(biāo)準(zhǔn)字段:
- iss:Issuer,發(fā)行者
- sub:Subject�����,主題
- aud:Audience,觀眾
- exp:Expiration time����,過(guò)期時(shí)間
- nbf:Not before
- iat:Issued at,發(fā)行時(shí)間
- jti:JWT ID
比如下面這個(gè) Payload ��,用到了 iss 發(fā)行人�����,還有 exp 過(guò)期時(shí)間�����。另外還有兩個(gè)自定義的字段�����,一個(gè)是 name ,還有一個(gè)是 admin ���。
{
"iss": "ninghao.net",
"exp": "1438955445",
"name": "wanghao",
"admin": true
}
使用 Base64 編碼以后就變成了這個(gè)樣子:
eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ
Signature
JWT 的最后一部分是 Signature ,這部分內(nèi)容有三個(gè)部分����,先是用 Base64 編碼的 header.payload ,再用加密算法加密一下�,加密的時(shí)候要放進(jìn)去一個(gè) Secret �����,這個(gè)相當(dāng)于是一個(gè)密碼�����,這個(gè)密碼秘密地存儲(chǔ)在服務(wù)端����。
- header
- payload
- secret
var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload);
HMACSHA256(encodedString, 'secret');
處理完成以后看起來(lái)像這樣:
SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
最后這個(gè)在服務(wù)端生成并且要發(fā)送給客戶端的 Token 看起來(lái)像這樣:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
客戶端收到這個(gè) Token 以后把它存儲(chǔ)下來(lái)����,下回向服務(wù)端發(fā)送請(qǐng)求的時(shí)候就帶著這個(gè) Token ���。服務(wù)端收到這個(gè) Token �����,然后進(jìn)行驗(yàn)證��,通過(guò)以后就會(huì)返回給客戶端想要的資源����。
相關(guān)鏈接
http://jwt.io/
https://github.com/firebase/php-jwt
https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
https://github.com/auth0/jwt-decode
以上就是本文的全部?jī)?nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助�����,也希望大家多多支持腳本之家�。
您可能感興趣的文章:- node實(shí)現(xiàn)基于token的身份驗(yàn)證
- php 后端實(shí)現(xiàn)JWT認(rèn)證方法示例
- php JWT在web端中的使用方法教程
- 基于Token的身份驗(yàn)證之JWT基礎(chǔ)教程
