【認證與授權】JWT(JSON Web Token)簡介
上一個篇章我們有介紹了「【認證與授權】Authentication、Authorization,傻傻分不清楚?」,相信對於兩者個區別已經有一定的認知了, 那麼這次的主軸在於介紹Authentication(認證)的其中一個技術JWT(Json Web Token), 為什麼說這項技術很重要?
隨著系統越來越複雜,雲端模式的興起,我們傳統的驗證機制已經無法負荷現今的大量使用情境,因此才衍生出「無狀態」的「令牌」機制,主要讓我們在有限的時間內得到可以通行的「通行證」。
在這段期間內我們是認證通過的狀態,因此可以隨意進出系統,而對於伺服端來說也不用去特別記住來的是誰,只認令牌不認人,看到這邊想必心中難免會有疑惑,這樣不是很危險嗎,的確,單純的通行證當然不行,所以我們才要搭配授權、更新令牌...的機制,這留在我們後面的章節會逐一介紹。
那就讓我們先來了解一下JWT(Json Web Token)這們技術吧!
概念: 有限時間內可使用通行證來要求對應的操作權限。
JWT 的組成內容有三個部分,由 . 做區隔,最後透過這三個部分,串成一個 Jwt 字串
[HEADER].[PAYLOAD].[SIGNATURE]
1. Header:
主要記載認證的方法
{"typ": "JWT","alg": "HS256" # 加密的方法(HS384、RS256、ES256...)}
2. Payload:
這部分可以裝載一些比較不敏感的資訊,通常建議裝載以下資訊(但不強制)。
- iss (Issuer) — jwt簽發者
- sub (Subject) — jwt所面向的用戶
- aud (Audience) — 接收jwt的一方
- exp (Expiration Time) — jwt的過期時間,這個過期時間必須要大於簽發時間
- nbf (Not Before) — 定義在什麼時間之前,該jwt都是不可用的
- iat (Issued At) — jwt的簽發時間
- jti (JWT ID) — jwt的唯一身份標識,主要用來作為一次性token,從而迴避重放攻擊
{"displayName": "John Doe","roles": ["$roleId", "roleId", ...]"iat": 1516239022,"exp": 1516239022}
我們也可以利用payload來裝載其它的資訊。
3. Signature
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), 'secret')
簽名後得到Signature的字串,最後組成為
$base64Str(header).$base64Str(payload).$signature
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT的驗證流程
優點
- 採用JSON的形式,大部分的程式語言皆支援。
- 可存放一些使用者資訊,但並非是敏感的資訊。
- 不用在Server端實做Session機制,特別適合多台Server的情境下,使得擴展性容易,因為多台Server要使用Session的話,會有共享Session的問題產生。
- 因為是透過header夾帶,因此不會有傳統用Cookie進行跨域請求等問題。
缺點
- JWT沒辦法主動被失效,也就是說不能像Session一樣被強制無效,只能等到過期。
如何拿jwt token去存取API?
curl -X GET "http://192.168.1.222:5002/users/me" -H "accept: application/json" -H "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1aWQiOiI1ZThkOWUyYWQ0OWU2MzMzOTBiZWExYTgiLCJpYXQiOjE1ODg4MTE0MzksImV4cCI6MTU4ODgxNDQzOX0.LqgFDdMWXf_nYC3a4_wn8WV3BLqXaklwgGjXVRp2i3I"
即將進入廣告,捲動後可繼續閱讀
為什麼會看到廣告
113會員
255內容數
哈囉,我是阿Han,是一位 👩💻 軟體研發工程師,喜歡閱讀、學習、撰寫文章及教學,擅長以圖代文,化繁為簡,除了幫助自己釐清思路之外,也希望藉由圖解的方式幫助大家共同學習,甚至手把手帶您設計出高品質的軟體產品。
留言0
查看全部
你可能也想看
Google News 追蹤
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享!
秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位
王多多的點評
「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。
我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
最近協助小朋友背單字準備考試,發現官方的字彙本是PDF且有加上詞性,卻沒有中文解釋,所以我整理一下單字中英對照表,有興趣的請自行取用,並且點選喜歡,留言,加入我的沙龍。多謝
一開始先介紹什麼是YLE Movers
劍橋兒童英語認證(YLE)是劍橋大學英語考試院(Cambridge Assessm
專業按摩證照的取得一直是追求按摩技術人士的目標,而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程,這些專業訓練不僅是一門技術,更是一種承諾和責任。
身體撥筋教學是按摩技術中的重要一環,它不僅要求技巧熟練,更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等
NIST 800-88 認證與其他抹除標準的全方位比較
索引
引言
NIST 800-88 標準要求
四大抹除標準比較
該使用何種抹除標準?
Q&A
引言
NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Netflix 最大的特色,大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業,Netflix 經歷多次 pivot,包含亞馬遜(Amazon)併購失敗、放棄 DVD 銷售,後來轉型月費訂閱制、無延遲罰款,又或是百視達(Blockbuster)不願併購導致...
終於通過中高級了,超級開心的,來分享一下辛苦的過程,流淚撒種者必歡呼收割,雖然未來的路還很長,但至少已達成主要目標。
得知閩南語認證考試相關資訊剛好一年,從排斥台羅拼音到接受且認真學習,花了二個月自學,到後來數個月天天練習聽寫,這次成大認證台羅拼音聽寫考78分(總分80),感覺是蠻熟練了,台語老師
前言
只要把後端對外,或者網站對外,就一定會被攻擊,有自己用自己的電腦當 server 架站過就一定知道,只要一對外,每天都會收到一些隨機的攻擊,最常見就是別人在亂試 api 看能不能猜對,通常是猜不到啦,鬼知道你的 api 長什麼樣子,更別提要帶什麼參數,能猜對真的是會通靈。
儘管如此,你可能還是
session & token
驗證機制早期是用 session,server 這裡會發一個 session 給 client,並在資料庫記錄這個 session 屬於誰,而且每個裝置都會記一組 session,這會造成 server 這邊需要記錄大量的資料。
後來發展出 token,client
.NET Core — WebAPI + JWT 會員登入 與 權限管理
這是一門「 **純** 」後端的課程,所以不包含前端JS與HTML。
不建議「完全沒基礎」的朋友參與,擔心您跟不上。
提供試聽,所以沒有退費機制,請審慎考慮!
2C. JWT如何透過 Postman開始測試,片長 02:54
這是一個學員想學的題目,但他似乎連基礎的DB與CRUD都不熟悉
基礎不好,直接學JWT,我覺得太累了(前期準備不足,要花時間補上)
JWT比我想像複雜一點,即使網路上很多範例了
您需要學習,具備以下的簡單基礎:
基礎的 ASP.NET MVC與簡單的 Visual Studio操作
這個秋,Chill 嗨嗨!穿搭美美去賞楓,裝備款款去露營⋯⋯你的秋天怎麼過?秋日 To Do List 等你分享!
秋季全站徵文,我們準備了五個創作主題,參賽還有機會獲得「火烤兩用鍋」,一起來看看如何參加吧~
美國總統大選只剩下三天, 我們觀察一整週民調與金融市場的變化(包含賭局), 到本週五下午3:00前為止, 誰是美國總統幾乎大概可以猜到60-70%的機率, 本篇文章就是以大選結局為主軸來討論近期甚至到未來四年美股可能的改變
Faker昨天真的太扯了,中國主播王多多點評的話更是精妙,分享給各位
王多多的點評
「Faker是我們的處境,他是LPL永遠繞不開的一個人和話題,所以我們特別渴望在決賽跟他相遇,去直面我們的處境。
我們曾經稱他為最高的山,最長的河,以為山海就是盡頭,可是Faker用他28歲的年齡...
最近協助小朋友背單字準備考試,發現官方的字彙本是PDF且有加上詞性,卻沒有中文解釋,所以我整理一下單字中英對照表,有興趣的請自行取用,並且點選喜歡,留言,加入我的沙龍。多謝
一開始先介紹什麼是YLE Movers
劍橋兒童英語認證(YLE)是劍橋大學英語考試院(Cambridge Assessm
專業按摩證照的取得一直是追求按摩技術人士的目標,而其中最為瞭解的莫過於按摩學徒的執照與認證之路。從身體撥筋教學到經絡按摩課程,這些專業訓練不僅是一門技術,更是一種承諾和責任。
身體撥筋教學是按摩技術中的重要一環,它不僅要求技巧熟練,更需要對人體結構和疾病有深入的了解。撥筋課程涵蓋了解剖學、生理學等
NIST 800-88 認證與其他抹除標準的全方位比較
索引
引言
NIST 800-88 標準要求
四大抹除標準比較
該使用何種抹除標準?
Q&A
引言
NIST 800-88,全名為《信息安全手冊》的第800-88號文件,是由美國國家標準技術研究所(NIST)所發布的一項
Netflix 最大的特色,大概就是在市場還沒全面看好前就持續投入。從一開始的 DVD 線上租賃服務到當今的串流事業,Netflix 經歷多次 pivot,包含亞馬遜(Amazon)併購失敗、放棄 DVD 銷售,後來轉型月費訂閱制、無延遲罰款,又或是百視達(Blockbuster)不願併購導致...
終於通過中高級了,超級開心的,來分享一下辛苦的過程,流淚撒種者必歡呼收割,雖然未來的路還很長,但至少已達成主要目標。
得知閩南語認證考試相關資訊剛好一年,從排斥台羅拼音到接受且認真學習,花了二個月自學,到後來數個月天天練習聽寫,這次成大認證台羅拼音聽寫考78分(總分80),感覺是蠻熟練了,台語老師
前言
只要把後端對外,或者網站對外,就一定會被攻擊,有自己用自己的電腦當 server 架站過就一定知道,只要一對外,每天都會收到一些隨機的攻擊,最常見就是別人在亂試 api 看能不能猜對,通常是猜不到啦,鬼知道你的 api 長什麼樣子,更別提要帶什麼參數,能猜對真的是會通靈。
儘管如此,你可能還是
session & token
驗證機制早期是用 session,server 這裡會發一個 session 給 client,並在資料庫記錄這個 session 屬於誰,而且每個裝置都會記一組 session,這會造成 server 這邊需要記錄大量的資料。
後來發展出 token,client
.NET Core — WebAPI + JWT 會員登入 與 權限管理
這是一門「 **純** 」後端的課程,所以不包含前端JS與HTML。
不建議「完全沒基礎」的朋友參與,擔心您跟不上。
提供試聽,所以沒有退費機制,請審慎考慮!
2C. JWT如何透過 Postman開始測試,片長 02:54
這是一個學員想學的題目,但他似乎連基礎的DB與CRUD都不熟悉
基礎不好,直接學JWT,我覺得太累了(前期準備不足,要花時間補上)
JWT比我想像複雜一點,即使網路上很多範例了
您需要學習,具備以下的簡單基礎:
基礎的 ASP.NET MVC與簡單的 Visual Studio操作