El JSON webes token, közismert nevén J.W.T.A , egy nyílt szabvány a felek közötti biztonságos információátvitelre. Az RFC 7519 specifikáció határozza meg, és elsősorban a webbiztonság kontextusában használják a felhasználók hitelesítésére és az adatok integritásának biztosítására.
Egy JWT felépítése
Un J.W.T. Három, kódolt részből áll Base64Url, pontokkal elválasztva:
- Fejléc: A token metaadatait tartalmazza, például a típust és a használt aláírási algoritmust. Például:
{"alg": "HS256", "typ": "JWT"}{"sub": "1234567890", "name": "John Doe", "admin": true}Például az aláírás a következőképpen generálódik:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
your-256-bit-secret)Jogcímek típusai egy JWT-ben
Követelések vagy követelések Általában három kategóriába sorolják őket:
Regisztrált kárigények
Ezek előre meghatározott, JWT-kben való használatra ajánlott jogcímek halmaza. Ezek a következők:
- issA token kibocsátója.
- alattA token alanya.
- audA token célközönsége.
- expToken lejárati dátuma.
- nbf: Azt az időpontot jelzi, amikor a token érvényes.
Nyilvános panaszok
A felhasználók tetszés szerint definiálhatnak jogcímeket, de el kell kerülniük a névütközéseket. Például:
- felhasználónév: A hitelesített személy felhasználóneve.
- szerepFelhasználói szerepkör (adminisztrátor, normál felhasználó stb.).
Magánkövetelések
Az egyéni igényléseket azért hozzák létre, hogy a felek olyan módon osszák meg az információkat, ami nem zavarja a regisztrált vagy nyilvános igényléseket.
Hogyan működik a JWT a webbiztonságban?
A munkafolyamat egy J.W.T. általában a következő lépéseket követi:
hitelesítés
A folyamat akkor kezdődik, amikor a felhasználó sikeresen hitelesíti magát, általában egy bejelentkezési űrlapon keresztül. A felhasználó ellenőrzése után a szerver létrehoz egy J.W.T. információkat tartalmaz a felhasználó munkamenetéről.
Tokengenerálás
A hitelesítés után a szerver létrehoz egy J.W.T. és válaszként elküldi az ügyfélnek. Ez a token tárolható a helyi raktár vagy sütiként a böngészőben.
A token elküldése
Minden további kéréssel a kliens elküldi a J.W.T. a szerver felé, általában a fejlécen keresztül Meghatalmazás:
Authorization: Bearer Token-ellenőrzés
A szerver fogadja a tokent, és a titkos kulcs vagy tanúsítvány segítségével ellenőrzi azt. Ha a token érvényes és nem járt le, akkor a védett erőforrásokhoz való hozzáférés engedélyezett.
A JWT használatának előnyei
A J.W.T. webes alkalmazásokban számos előnnyel jár:
Méretezhetőség
sok J.W.T. Autonóm módon működnek, ami azt jelenti, hogy a szervereknek nem kell felhasználói munkamenetet fenntartaniuk a memóriában. Ez javítja a skálázhatóságot, mivel több szerverpéldány is képes kezelni a kéréseket anélkül, hogy az adatbázishoz kellene hozzáférniük a munkamenet állapotának ellenőrzéséhez.
átjárhatóság
Mivel nyílt szabványról van szó, J.W.T. Különböző programozási nyelveken és platformokon átjárható, megkönnyítve a különféle rendszerekbe és szolgáltatásokba való integrációt.
Biztonság
Az aláírás képessége J.W.T. biztosítja, hogy a tartalmat ne módosítsák, a titkosítási algoritmusok használata pedig további biztonsági réteget biztosít, szükség esetén biztosítva a titoktartást.
A JWT használatának hátrányai
Előnyei ellenére hátrányai is vannak a megvalósítás során J.W.T.:
Token mérete
sok J.W.T. nagyra nőhetnek, különösen, ha sok információt tartalmaznak. hasznos teherEz megnövekedett hálózati terheléshez vezethet, ha minden kéréssel együtt elküldik.
Lejárat és visszavonás
Kibocsátása után egy J.W.T. Lejáratáig érvényes. Ha egy felhasználó jogosultságát vissza kell vonni (például, ha a fiókját feltörték), a szervernek egy további mechanizmust kell megvalósítania, például visszavonási listákat, mivel a token a lejáratáig használható.
Kulcskezelés
A biztonság J.W.T. Ez a token aláírásához használt kulcs erősségétől függ. A kulcs biztonságban tartása és rendszeres cseréje kulcsfontosságú az alkalmazás biztonsága szempontjából.
A JWT gyakori felhasználási módjai
sok J.W.T. Különböző alkalmazásokban és kontextusokban használják őket, beleértve:
API-hitelesítés
A RESTful API-kat használó alkalmazásokban J.W.T. Gyakran használják kérések hitelesítésére. Lehetővé teszi az API-fejlesztők számára, hogy olyan architektúrát építsenek, amely biztonságos és könnyen használható.
Mikroszolgáltatások közötti hitelesítés
A mikroszolgáltatás-architektúrákban a J.W.T. Megkönnyítik a szolgáltatások közötti hitelesítést azáltal, hogy egyszerű módot biztosítanak a felhasználók ellenőrzésére anélkül, hogy meg kellene osztani a munkameneteket a szolgáltatások között.
SSO (egyszeri bejelentkezés)
A J.W.T. megkönnyítheti a megoldások megvalósítását SSO, lehetővé téve a felhasználók számára, hogy egyszer hitelesítsék magukat, és több alkalmazáshoz is hozzáférjenek anélkül, hogy újra be kellene jelentkezniük.
Biztonságos információmegosztás
sok J.W.T. Hasznosak a különböző felek közötti információmegosztásban is, biztosítva az átvitt adatok integritását és hitelességét.
Hozzáférés-szabályozás
sok J.W.T. Lehetővé teszik a részletes hozzáférés-vezérlés megvalósítását, mivel a szerepkörökre és engedélyekre vonatkozó adatok közvetlenül a tokenbe foglalhatók.
JWT implementálása egy projektben
JWT létrehozása
Hozzon létre egy J.W.T., különféle könyvtárakat használhatsz, amelyek több nyelven is elérhetők, például JavaScript, Piton y JávaEgy példa a következőre: node.js a könyvtár használata jsonwebtoken a következő:
const jwt = require('jsonwebtoken');
const token = jwt.sign({ id: user.id }, 'your-256-bit-secret', { expiresIn: '1h' });JWT ellenőrzése
Egy ellenőrzése J.W.T. Hasonló módon, ugyanazt a könyvtárat használva történik:
jwt.verify(token, 'your-256-bit-secret', function(err, decoded) {
if (err) {
return console.log('Token inválido');
}
console.log(decoded); // { id: 123, i Ss: 'your-issuer', ... }
});Token lejáratának kezelése
A token lejáratának kezeléséhez ellenőrizni kell a lejárati időt (igénylést). exp) a hasznos teher mielőtt hozzáférést adna a védett erőforrásokhoz. Ha a token lejárt, a felhasználót át kell irányítani, hogy újra bejelentkezzen és új tokent szerezzen be.
Köztes szoftverek használata
Sok alkalmazásban, különösen és különösen a következők összefüggésében: node.js a expressz, egy köztes szoftvert használnak a következők központi ellenőrzésének kezelésére J.W.T.Íme egy alapvető példa:
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
const checkToken = (req, res, next) => {
const token = req.headers['authorization']?.split(' ')[1];
if (!token) return res.sendStatus(401); // No autorizado
jwt.verify(token, 'your-256-bit-secret', (err, decoded) => {
if (err) return res.sendStatus(403); // Prohibido
req.user = decoded; // Guardar información del usuario en el request
next(); // Continuar a la siguiente middleware
});
};
app.get('/protected', checkToken, (req, res) => {
res.send('Este es un recurso protegido.');
});El JSON webes token Ez egy hatékony eszköz a webes alkalmazások hitelesítésének és jogosultságainak kezelésére. Egyszerű felépítése, valamint ellenőrizhetősége és validálhatósága megkönnyíti a biztonságos, skálázható és interoperábilis rendszerek megvalósítását. A hatékonyság maximalizálása érdekében azonban figyelembe kell venni a legjobb gyakorlatokat és a megfelelő biztonságkezelést.