原文收录

GitBook——统一接口认证解决方案

JsonWebToken

关于JsonWebToken的专业名词解释：

unsecured JWT：默认头部{“alg”: “none”}的jwt令牌
JWS(SignedJWT)：已签名的jwt,包含标准jwt结构：header、payload、signature
JWE(EncryptedJWT)：已加密的jwt，结构为：
JWA：所涉及的密码学算法
JWK：密码学算法所需的密钥

JsonWebToken主体分为三个部分：header、payload、signature

unsecured JWT结果示例：

eyJhbGciOiJub25lIn0.
eyJqdGkiOiJkZWJhNzhiZDZiNTI0ZTA2OWE4MmZjZTJlNzdmOTU2MSIsImlzcyI6Ik1hdGVNYXN0ZXIiLCJzdWIiOiLmnInmlYjotJ_ovb3mtYvor5UiLCJhdWQiOiJhdWRpZW5jZSIsImV4cCI6MTY3MDExNzIzMywibmJmIjoxNjcwMDMwODkzLCJpYXQiOjE2NzAwMzA4MzN9.

header

{"alg": "HS256","typ": "JWT","cty": ""
}

在这里插入图片描述

payload
有效负载一般分为两类：用户自定义、标准注册负载（iss、sub、aud、exp、nbf、iat、jti）

{"jti": "4a9813f957b84dda8091510402e7c33d","iss": "MateMaster","sub": "有效负载测试","aud": "audience","exp": 1670054958,"nbf": 1669968618,"iat": 1669968558
}

JWS

JWS(Signed JWT)compact序列化主要生成流程：
在这里插入图片描述
结果示例

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.
eyJpc3MiOiJtYXRlbWFzdGVyIiwic3ViIjoiandzIiwiYXVkIjoiYXVkaWVuY2UiLCJleHAiOjE2NzAwMzQ4NjEsImlhdCI6MTY3MDAzNDgwMSwibmJmIjoxNjcwMDM0ODAxLCJqdGkiOiIzNTA3M2FhYmMxMmU0ZDUzOTBkNGNjOGFlYzVhNmVlYyJ9.
pKhj-QPDszduhet_SZW6BfsLX0n88D__YvIHvfj87OSitCRq1ybb7Bc3ClZZfhf_ewgrhVUL4d4WK0JuCkl0gA

难点：

什么是JWS JSON Serialization?
JWS header claims的各个参数(除标准jwt之外的参数)作用？

JWS JSON序列化
JWS JSON 序列化形式（多个签名）

{"payload": "eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogIm h0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ","signatures": [{"protected": "eyJhbGciOiJSUzI1NiJ9","header": {"kid": "2010-12-29"},"signature": "cC4hiUPoj9Eetdgtv3hF80EGrhuB__dzERat0XF9g2VtQgr9PJbu3XOiZj5RZmh7AA uHIm4Bh-0Qc_lF5YKt_O8W2Fp5jujGbds9uJdbF9CUAr7t1dnZcAcQjbKBYNX4BAyn RFdiuB--f_nZLgrnbyTyWzO5vRK5h6xBArLIARNPvkSjtQBMHlb1L07Qe7K0GarZRmB _eSN9383LcOLn6_dO--xi12jzDwusC-eOkHWEsqtFZESc6BfI7noOPqvhJ1phCnvWh6 IeYI2w9QOYEUipUTI8np6LbgGY9Fs98rqVt5AXLIhWkWywlVmtVrBp0igcN_IoypGlU PQGe77Rw"},{"protected": "eyJhbGciOiJFUzI1NiJ9","header": {"kid": "e9bc097a-ce51-4036-9562-d2ade882db0d"},"signature": "DtEhU3ljbEg8L38VWAfUAqOyKAM6-Xx-F4GawxaepmXFCgfTjDx w5djxLa8ISlSApmWQxfKTUJqPP3-Kg6NU1Q"}]
}

扁平化JWS JSON 序列化形式（单个签名）

{"payload": "eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQog Imh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ","protected": "eyJhbGciOiJFUzI1NiJ9","header": {"kid": "e9bc097a-ce51-4036-9562-d2ade882db0d"},"signature": "DtEhU3ljbEg8L38VWAfUAqOyKAM6-Xx-F4GawxaepmXFC gfTjDxw5djxLa8ISlSApmWQxfKTUJqPP3-Kg6NU1Q"
}

JSON 序列化与 compact序列化的区别：

Json序列化结果为标准的json格式对象包含：payload、signatures 而compact序列化结果为 header.payload.signature
json序列化支持两种header：protected和unprotected，compact只支持protected。ps：protected与unprotected代表这个header是否被签名验证
json序列化支持多个签名，每个签名内容包含在signatures数组

JWS JSON字段含义
payload：base64编码的JWT负载字符串
protected：base64编码的JWS头部字符串，包含的声明受到签名保护
signatures：签名数组，header：不受签名保护的header，在unprotected header中是必须的，在protected中是可选的，signature：base64编码的JWS签名字符串

在这里插入图片描述
重点知识：
在JWS中，Share SecretKey，各方都可以验证和生成令牌。在公钥/私钥中，只有私钥可以验证、生成令牌，公钥只可以验证令牌，不能用于生成令牌
从生产者与消费者角度理解JWS

JWE

JWE(Encrypted JWT)compact序列化主要生成流程：

根据alg声明算法，生成所需的随机数
依据密钥管理方式确定CEK
依据密钥管理方式确定JWE Encrypt Key
计算初始化向量（如果需要）
压缩文本内容（如果需要）
使用CEK、IV或AAD加密数据

JWE(Encrypted JWT)compact序列化组成部分：

base64(header)
base64(encryptedKey) [step 2,3]
base64(initializationVector) [step 4]
base64(cipherText) [step 6]
base64(authenticationTag) [step 6]

eyJhbGciOiJBMTI4S1ciLCJlbmMiOiJBMTI4Q0JDLUhTMjU2In0.
Y2DxdVnvuDwo5vutvvPg4PpGQKFmRxWoDUCtfs58Gv5rJ4J1RkSOUQ.
-Iu2VusgO_w0uWrn0JWx3Q.
krW8miBqh5x3dZ6ktf0C_A.
HHYK0TxHth2949NDPpwTsw

重点知识：
在JWE中，Share SecretKey，各方都可以加密解密令牌。在对称加密中，只有公钥可以加密数据，私钥解密
从生产者与消费者角度理解JWE
在这里插入图片描述

JWK

JWK的出现旨在，为不同加密密钥提供一个统一的格式标准
JWK样例

{"kty": "EC","crv": "P-256","x": "MKBCTNIcKUSDii11ySs3526iDZ8AiTo7Tu6KPAqv7D4","y": "4Etl6SRW2YiLUrN5vfvVHuhp7x8PxltmWWlbbM4IFyM","d": "870MB6gfuTJ4HtUnUvYMyJpr5eUZNP4Bk43bVdj3eAE","use": "enc","kid": "1"
}