JWT 在跨域認證中的應用

用戶認證的傳統方法

傳統的用戶認證方法通常依賴于服務器端會話（session）。流程如下：

1. 用戶向服務器發送用戶名和密碼。
2. 服務器驗證成功后，保存用戶的會話信息。
3. 服務器返回一個 session_id，存儲在用戶的 Cookie 中。
4. 用戶每次請求都會將 session_id 通過 Cookie 發送給服務器。
5. 服務器根據 session_id 識別用戶身份。

這種方式的問題在于擴展性差，尤其是在服務器集群和跨域服務中，需要共享 session 數據。

JWT 的解決方案

JWT 的出現為跨域認證帶來了新的解決方案。JWT 由服務器生成并返回給客戶端，之后每次請求都附帶此令牌，服務器通過解析 JWT 確認用戶身份。JWT 的無狀態特性使其可以在多臺服務器間輕松擴展，無需共享 session 數據。

JWT 的結構和組成

JWT 的基本組成

JWT 是一個由三部分組成的字符串：

• Header（頭部）：包含令牌類型和加密算法。
• Payload（負載）：包含實際傳遞的數據，如用戶名、角色等。
• Signature（簽名）：用于驗證數據的完整性。

Header.Payload.Signature

Header 的結構

Header 是一個 JSON 對象，描述了令牌的元數據，通常包含以下信息：

{
  "alg": "HS256",
  "typ": "JWT"
}

其中 alg 表示使用的簽名算法，typ 表示令牌類型。

Payload 的內容

Payload 中存放的是實際需要傳遞的數據，可以包含標準字段和自定義字段：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

注意，JWT 默認是不加密的，敏感信息不應放在 Payload 中。

Signature 的生成

Signature 是對 Header 和 Payload 的簽名，確保數據未被篡改。生成方法涉及加密算法和服務器密鑰：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

JWT 的應用場景

跨域存儲和傳輸

JWT 可以存儲在瀏覽器的 Cookie 或 localStorage 中。每次請求時，客戶端需將 JWT 附帶在請求頭中：

Authorization: Bearer 

安全性和限制

雖然 JWT 提供了一種無狀態的認證方式，但其安全性依賴于簽名和密鑰的保護。為防止 JWT 被截獲后濫用，應采用 HTTPS 傳輸，并設置較短的有效期。

JWT 的優缺點分析

優點

• 無狀態性：服務器無需保存會話信息，易于擴展。
• 靈活性：不僅限于認證，也可用于信息交換。

缺點

• 安全性：一旦 JWT 泄露，任何人都可獲取令牌權限。
• 不可撤銷性：JWT 簽發后無法輕易撤銷或修改權限。

如何確保 JWT 的安全傳輸

使用 HTTPS

確保所有的 JWT 傳輸都通過 HTTPS 進行，防止令牌被竊取。

短時效性

設置較短的有效期，減少被盜用的風險。對于重要操作，應重新認證用戶。

JWT 的實現示例

以下是一個簡單的 JWT 生成和驗證流程示例：

const jwt = require('jsonwebtoken');

// 生成 JWT
token = jwt.sign({ username: 'JohnDoe' }, 'your-256-bit-secret', { expiresIn: '1h' });

// 驗證 JWT
try {
  const decoded = jwt.verify(token, 'your-256-bit-secret');
  console.log(decoded);
} catch (err) {
  console.error('Token invalid or expired');
}

FAQ

問：JWT 是什么？

答：JWT 是 JSON Web Token 的縮寫，是一種輕量級的跨域認證方案。

問：JWT 如何保證安全性？

答：通過簽名算法和密鑰保證數據的完整性，通過 HTTPS 傳輸防止被截獲。

問：JWT 可用于哪些場合？

答：JWT 可用于用戶認證、信息交換、跨域通信等場合。

問：如何存儲 JWT？

答：JWT 可以存儲在瀏覽器的 Cookie 或 localStorage 中。

問：JWT 的有效期如何設置？

答：JWT 的有效期應設置得較短，以減少被盜用的風險。