最近了解下基于 Token 的身份驗(yàn)證，跟大伙分享下。很多大型網(wǎng)站也都在用，比如 Facebook，Twitter，Google+，Github 等等，比起傳統(tǒng)的身份驗(yàn)證方法，Token 擴(kuò)展性更強(qiáng)，也更安全點(diǎn)，非常適合用在 Web 應(yīng)用或者移動(dòng)應(yīng)用上。Token 的中文有人翻譯成 “令牌”，我覺得挺好，意思就是，你拿著這個(gè)令牌，才能過一些關(guān)卡。

傳統(tǒng)身份驗(yàn)證的方法

HTTP 是一種沒有狀態(tài)的協(xié)議，也就是它并不知道是誰是訪問應(yīng)用。這里我們把用戶看成是客戶端，客戶端使用用戶名還有密碼通過了身份驗(yàn)證，不過下回這個(gè)客戶端再發(fā)送請求時(shí)候，還得再驗(yàn)證一下。

解決的方法就是，當(dāng)用戶請求登錄的時(shí)候，如果沒有問題，我們在服務(wù)端生成一條記錄，這個(gè)記錄里可以說明一下登錄的用戶是誰，然后把這條記錄的 ID 號發(fā)送給客戶端，客戶端收到以后把這個(gè) ID 號存儲(chǔ)在 Cookie 里，下次這個(gè)用戶再向服務(wù)端發(fā)送請求的時(shí)候，可以帶著這個(gè) Cookie ，這樣服務(wù)端會(huì)驗(yàn)證一個(gè)這個(gè) Cookie 里的信息，看看能不能在服務(wù)端這里找到對應(yīng)的記錄，如果可以，說明用戶已經(jīng)通過了身份驗(yàn)證，就把用戶請求的數(shù)據(jù)返回給客戶端。

上面說的就是 Session，我們需要在服務(wù)端存儲(chǔ)為登錄的用戶生成的 Session ，這些 Session 可能會(huì)存儲(chǔ)在內(nèi)存，磁盤，或者數(shù)據(jù)庫里。我們可能需要在服務(wù)端定期的去清理過期的 Session 。

基于 Token 的身份驗(yàn)證方法

使用基于 Token 的身份驗(yàn)證方法，在服務(wù)端不需要存儲(chǔ)用戶的登錄記錄。大概的流程是這樣的：

1. 客戶端使用用戶名跟密碼請求登錄
2. 服務(wù)端收到請求，去驗(yàn)證用戶名與密碼
3. 驗(yàn)證成功后，服務(wù)端會(huì)簽發(fā)一個(gè) Token，再把這個(gè) Token 發(fā)送給客戶端
4. 客戶端收到 Token 以后可以把它存儲(chǔ)起來，比如放在 Cookie 里或者 Local Storage 里
5. 客戶端每次向服務(wù)端請求資源的時(shí)候需要帶著服務(wù)端簽發(fā)的 Token
6. 服務(wù)端收到請求，然后去驗(yàn)證客戶端請求里面帶著的 Token，如果驗(yàn)證成功，就向客戶端返回請求的數(shù)據(jù)

JWT

實(shí)施 Token 驗(yàn)證的方法挺多的，還有一些標(biāo)準(zhǔn)方法，比如 JWT，讀作：jot ，表示：JSON Web Tokens 。JWT 標(biāo)準(zhǔn)的 Token 有三個(gè)部分：

1. header
2. payload
3. signature

中間用點(diǎn)分隔開，并且都會(huì)使用 Base64 編碼，所以真正的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc
Header

header 部分主要是兩部分內(nèi)容，一個(gè)是 Token 的類型，另一個(gè)是使用的算法，比如下面類型就是 JWT，使用的算法是 HS256。

{
 "typ": "JWT",
 "alg": "HS256"
}

上面的內(nèi)容要用 Base64 的形式編碼一下，所以就變成這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

Payload 里面是 Token 的具體內(nèi)容，這些內(nèi)容里面有一些是標(biāo)準(zhǔn)字段，你也可以添加其它需要的內(nèi)容。下面是標(biāo)準(zhǔn)字段：

1. iss：Issuer，發(fā)行者
2. sub：Subject，主題
3. aud：Audience，觀眾
4. exp：Expiration time，過期時(shí)間
5. nbf：Not before
6. iat：Issued at，發(fā)行時(shí)間
7. jti：JWT ID

比如下面這個(gè) Payload ，用到了 iss 發(fā)行人，還有 exp 過期時(shí)間。另外還有兩個(gè)自定義的字段，一個(gè)是 name ，還有一個(gè)是 admin 。

{
 "iss": "ninghao.net",
 "exp": "1438955445",
 "name": "wanghao",
 "admin": true
}

使用 Base64 編碼以后就變成了這個(gè)樣子：

eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ

Signature

JWT 的最后一部分是 Signature ，這部分內(nèi)容有三個(gè)部分，先是用 Base64 編碼的 header.payload ，再用加密算法加密一下，加密的時(shí)候要放進(jìn)去一個(gè) Secret ，這個(gè)相當(dāng)于是一個(gè)密碼，這個(gè)密碼秘密地存儲(chǔ)在服務(wù)端。

1. header
2. payload
3. secret

var encodedString = base64UrlEncode(header) + "." + base64UrlEncode(payload); 
HMACSHA256(encodedString, 'secret');

處理完成以后看起來像這樣：

SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

最后這個(gè)在服務(wù)端生成并且要發(fā)送給客戶端的 Token 看起來像這樣：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJuaW5naGFvLm5ldCIsImV4cCI6IjE0Mzg5NTU0NDUiLCJuYW1lIjoid2FuZ2hhbyIsImFkbWluIjp0cnVlfQ.SwyHTEx_RQppr97g4J5lKXtabJecpejuef8AqKYMAJc

客戶端收到這個(gè) Token 以后把它存儲(chǔ)下來，下回向服務(wù)端發(fā)送請求的時(shí)候就帶著這個(gè) Token 。服務(wù)端收到這個(gè) Token ，然后進(jìn)行驗(yàn)證，通過以后就會(huì)返回給客戶端想要的資源。

相關(guān)鏈接
http://jwt.io/
https://github.com/firebase/php-jwt
https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
https://github.com/auth0/jwt-decode

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評論