企业官网建设流程全解析

JWT 机制概述

JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在网络应用环境间安全传递声明（claims）。JWT 以 JSON 对象的形式存储信息，并通过数字签名或加密确保信息的完整性和安全性。

JWT 结构

JWT 由三部分组成，以点号（.）分隔：

• Header（头部）：包含令牌类型（如 JWT）和使用的签名算法（如 HMAC SHA256 或 RSA）。
• Payload（载荷）：存储声明（claims），包含用户信息或其他数据。
• Signature（签名）：对头部和载荷的签名，用于验证消息的完整性和来源。

示例结构：

header.payload.signature

JWT 工作流程

1. 用户认证：用户通过凭据（如用户名和密码）登录系统。
2. 生成令牌：服务器验证凭据后，生成 JWT 并返回给客户端。
3. 存储令牌：客户端（如浏览器）存储 JWT（通常存储在本地存储或 Cookie 中）。
4. 发送令牌：客户端在后续请求中携带 JWT（通常通过 HTTP 头的Authorization字段）。
5. 验证令牌：服务器验证 JWT 的签名和有效性，并根据载荷信息处理请求。

JWT 的优点

• 无状态：服务器无需存储会话信息，所有必要信息都包含在令牌中。
• 跨域支持：适合分布式系统和跨域认证。
• 灵活性：可以存储自定义声明，支持多种签名和加密算法。

JWT 的缺点

• 令牌大小：载荷过大时，可能增加网络开销。
• 无法撤销：一旦签发，在有效期内无法直接撤销（需结合黑名单或其他机制）。
• 安全性依赖存储：客户端存储不当可能导致令牌泄露。

JWT 的应用场景

• 用户认证：替代传统的 Session-Cookie 机制。
• API 认证：保护 RESTful API 的访问。
• 单点登录（SSO）：在多个系统间共享认证状态。

JWT 签名算法

常见的签名算法包括：

• HS256：HMAC + SHA-256，对称加密，需共享密钥。
• RS256：RSA + SHA-256，非对称加密，使用私钥签名、公钥验证。
• ES256：ECDSA + SHA-256，基于椭圆曲线的非对称加密。

安全注意事项

• 密钥管理：确保密钥的安全存储和定期轮换。
• 有效期：设置合理的令牌过期时间（exp声明）。
• HTTPS：始终通过 HTTPS 传输 JWT，防止中间人攻击。
• 敏感信息：避免在载荷中存储敏感信息（如密码），必要时加密。

示例代码（生成和验证 JWT）

以下是一个使用 Node.js 和jsonwebtoken库的示例：

const jwt = require('jsonwebtoken'); // 生成 JWT const payload = { userId: '123', role: 'admin' }; const secret = 'your-secret-key'; const token = jwt.sign(payload, secret, { expiresIn: '1h' }); // 验证 JWT jwt.verify(token, secret, (err, decoded) => { if (err) { console.error('Token verification failed:', err); } else { console.log('Decoded token:', decoded); } });

JWT 与 Session 的比较