JWT 从原理到应用完整指南
2025年11月6日
47 次查看
预计阅读 50 分钟
JSON Web Token(JWT)是一种开放标准(RFC 7519),用于在网络应用间安全地传递声明信息。它采用紧凑且自包含的 JSON 对象格式,通过数字签名确保信息的完整性和可信性。
1. JWT 基础原理
1.1 JWT 的核心概念
JWT 的核心设计理念是无状态、自包含。与传统 Session 机制不同,JWT 不需要服务器存储会话状态,所有必要信息都包含在令牌本身中。
1.2 JWT 的结构组成
JWT 由三个部分组成,用点号 . 连接:
xxxxx.yyyyy.zzzzz
| 部分 | 名称 | 作用 |
|---|---|---|
| 第一部分 | Header(头部) | 描述令牌的元数据,如类型和签名算法 |
| 第二部分 | Payload(载荷) | 存放声明信息,如用户 ID、角色、过期时间等 |
| 第三部分 | Signature(签名) | 验证令牌完整性,防止篡改 |
1.3 Header 详解
Header 包含令牌类型和签名算法信息:
{
"alg": "HS256",
"typ": "JWT"
}alg:签名算法,常见值:HS256:HMAC + SHA256(对称加密)RS256:RSA + SHA256(非对称加密)ES256:ECDSA + P-256(椭圆曲线加密)
typ:固定为"JWT"
Header 采用 Base64Url 编码,确保 URL 安全性。
1.4 Payload 详解
Payload 包含声明信息,分为三类:
注册声明(Registered Claims):预定义的标准字段 公共声明(Public Claims):自定义的公开信息 私有声明(Private Claims):自定义的私有信息
{
"sub": "1234567890", // 主题(用户ID)
"name": "Alice", // 用户名
"admin": true, // 管理员权限
"iat": 1516239022, // 签发时间(issued at)
"exp": 1516242622, // 过期时间(expiration time)
"aud": "api.example.com", // 接收方(audience)
"iss": "auth.example.com" // 签发者(issuer)
}重要提醒:Payload 是 Base64Url 编码,不是加密!不要存放敏感信息如密码、信用卡号等。
1.5 Signature 详解
签名用于验证令牌是否被篡改,确保数据完整性。
签名生成公式(以 HS256 为例):
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret )
不同算法的签名机制:
对称算法(HS256):使用同一个密钥进行签名和验证 非对称算法(RS256/ES256):使用私钥签名,公钥验证
2. JWT 工作流程
2.1 认证流程图
sequenceDiagram
participant User as 用户
participant Client as 客户端
participant Auth as 认证服务
participant API as API服务
User->>Client: 输入用户名密码
Client->>Auth: POST /login
Auth->>Auth: 验证凭证
Auth->>Auth: 生成JWT
Auth-->>Client: 返回JWT
Client->>API: 请求API (Authorization: Bearer <JWT>)
API->>API: 验证JWT签名
API->>API: 检查过期时间
API->>API: 解析Payload
API-->>Client: 返回请求数据JWT 认证流程:用户登录获取令牌,后续请求携带 JWT 进行 API 访问,服务端验证令牌后返回数据。
2.2 详细工作流程
用户登录:客户端发送用户名密码到认证服务 凭证验证:服务器验证用户身份 令牌生成:服务器生成包含用户信息的 JWT 令牌返回:JWT 返回给客户端 API 调用:客户端在请求头中携带 JWT 令牌验证:API 服务验证 JWT 签名和有效期 权限检查:根据 Payload 中的声明进行授权 数据返回:返回请求的资源数据
3. JWT 认证机制详解
3.1 令牌颁发机制
标准声明字段说明:
| 字段 | 名称 | 描述 |
|---|---|---|
sub |
Subject | 令牌主题,通常是用户唯一标识 |
iat |
Issued At | 令牌签发时间(Unix 时间戳) |
exp |
Expiration Time | 令牌过期时间(Unix 时间戳) |
nbf |
Not Before | 令牌生效时间(Unix 时间戳) |
aud |
Audience | 令牌目标接收方 |
iss |
Issuer | 令牌签发者 |
jti |
JWT ID | 令牌唯一标识符 |
3.2 令牌验证流程
flowchart TD
A[接收JWT] --> B{格式检查}
B -->|无效| C[返回401错误]
B -->|有效| D[Base64解码Header]
D --> E{算法支持检查}
E -->|不支持| C
E -->|支持| F[验证签名]
F -->|签名无效| C
F -->|签名有效| G[检查过期时间]
G -->|已过期| C
G -->|未过期| H[检查生效时间]
H -->|未生效| C
H -->|已生效| I[解析Payload]
I --> J[权限检查]
J --> K[返回用户信息]JWT 验证流程:检查令牌格式、算法支持、签名有效性、过期时间等,验证通过后解析 Payload 进行权限检查。
3.3 刷新令牌机制
在大型应用中,通常采用 Access Token + Refresh Token 的双令牌机制:
Access Token:短期有效(15 分钟),用于 API 访问 Refresh Token:长期有效(7 天),用于获取新的 Access Token
4. Node.js 实战示例
4.1 项目初始化
npm init -y npm install express bcrypt jsonwebtoken dotenv
4.2 环境配置
创建 .env 文件:
ACCESS_TOKEN_SECRET=super_long_random_string_access REFRESH_TOKEN_SECRET=super_long_random_string_refresh ACCESS_TOKEN_LIFE=15m REFRESH_TOKEN_LIFE=7d
4.3 完整服务端代码
const express = require("express");
const bcrypt = require("bcrypt");
const jwt = require("jsonwebtoken");
const app = express();
app.use(express.json());
const refreshStore = {};
const users = [];
// 用户注册接口
app.post("/register", async (req, res) => {
const { username, password } = req.body;
// 检查用户是否已存在
if (users.find((u) => u.username === username)) {
return res.status(400).json({ message: "用户已存在" });
}
// 密码哈希处理
const hashedPassword = await bcrypt.hash(password, 10);
const user = {
id: Date.now(),
username,
password: hashedPassword,
};
users.push(user);
res.json({ message: "用户注册成功", userId: user.id });
});
// 用户登录接口
app.post("/login", async (req, res) => {
const { username, password } = req.body;
const user = users.find((u) => u.username === username);
// 验证用户凭证
if (!user || !(await bcrypt.compare(password, user.password))) {
return res.status(401).json({ message: "用户名或密码错误" });
}
// 生成Access Token
const accessToken = jwt.sign(
{
userId: user.id,
username: user.username,
role: "user",
},
process.env.ACCESS_TOKEN_SECRET,
{
expiresIn: process.env.ACCESS_TOKEN_LIFE,
issuer: "auth-service",
audience: "api-service",
}
);
// 生成Refresh Token
const refreshToken = jwt.sign(
{ userId: user.id },
process.env.REFRESH_TOKEN_SECRET,
{
expiresIn: process.env.REFRESH_TOKEN_LIFE,
issuer: "auth-service",
}
);
// 存储Refresh Token
refreshStore[user.id] = refreshToken;
res.json({
accessToken,
refreshToken,
expiresIn: 15 * 60, // 15分钟
});
});
// 令牌刷新接口
app.post("/refresh", (req, res) => {
const { refreshToken } = req.body;
if (!refreshToken) {
return res.status(401).json({ message: "Refresh Token缺失" });
}
jwt.verify(refreshToken, process.env.REFRESH_TOKEN_SECRET, (err, payload) => {
if (err) {
return res.status(403).json({ message: "Refresh Token无效" });
}
const storedToken = refreshStore[payload.userId];
if (storedToken !== refreshToken) {
return res.status(403).json({ message: "Refresh Token不匹配" });
}
// 生成新的Access Token
const newAccessToken = jwt.sign(
{ userId: payload.userId },
process.env.ACCESS_TOKEN_SECRET,
{ expiresIn: process.env.ACCESS_TOKEN_LIFE }
);
res.json({ accessToken: newAccessToken });
});
});
// 受保护的路由示例
app.get("/profile", authenticateToken, (req, res) => {
res.json({
message: "受保护的用户信息",
userId: req.user.userId,
username: req.user.username,
});
});
// 令牌验证中间件
function authenticateToken(req, res, next) {
const authHeader = req.headers["authorization"];
const token = authHeader && authHeader.split(" ")[1];
if (!token) {
return res.status(401).json({ message: "访问令牌缺失" });
}
jwt.verify(token, process.env.ACCESS_TOKEN_SECRET, (err, payload) => {
if (err) {
return res.status(403).json({ message: "访问令牌无效" });
}
req.user = payload;
next();
});
}
// 用户登出接口
app.post("/logout", authenticateToken, (req, res) => {
delete refreshStore[req.user.userId];
res.json({ message: "登出成功" });
});
app.listen(3000, () => {
console.log("认证服务运行在 http://localhost:3000");
});4.4 客户端调用示例
使用 curl 进行 API 测试:
// 1. 用户注册
curl -X POST http://localhost:3000/register \
-H "Content-Type: application/json" \
-d '{"username":"alice","password":"123456"}'
// 2. 用户登录
curl -X POST http://localhost:3000/login \
-H "Content-Type: application/json" \
-d '{"username":"alice","password":"123456"}'
// 3. 访问受保护资源
curl -X GET http://localhost:3000/profile \
-H "Authorization: Bearer <access_token>"
// 4. 刷新令牌
curl -X POST http://localhost:3000/refresh \
-H "Content-Type: application/json" \
-d '{"refreshToken":"<refresh_token>"}'5. 生产环境最佳实践
5.1 密钥安全管理
如不小心将密钥硬编码并推送到 GitHub,导致重大安全漏洞。
使用 KMS 管理密钥:
// AWS KMS示例
import { KMSClient, SignCommand } from "@aws-sdk/client-kms";
const kms = new KMSClient({ region: "us-east-1" });
async function signWithKMS(payload) {
const command = new SignCommand({
KeyId: "alias/jwt-signing-key",
Message: Buffer.from(JSON.stringify(payload)),
SigningAlgorithm: "RSASSA_PSS_SHA_256",
});
const { Signature } = await kms.send(command);
return Signature;
}定期密钥轮换:每 90 天轮换一次 密钥长度要求:RSA ≥ 2048 位,EC 使用 P-256 曲线
5.2 Payload 优化策略
问题:将大量用户数据塞入 Payload 导致带宽浪费。
解决方案:
只存放最小必要信息 敏感数据通过 Redis 缓存 使用声明字段进行权限控制
{
"sub": "user123",
"role": "admin",
"scope": "read:users,write:orders"
}5.3 分布式环境下的令牌管理
Refresh Token 旋转机制
async function rotateRefreshToken(oldRefreshToken, userId) {
const payload = jwt.verify(oldRefreshToken, REFRESH_SECRET);
await redis.setex(`used_rt:${payload.jti}`, 86400, "1");
const newRefreshToken = jwt.sign(
{ userId, jti: generateJTI() },
REFRESH_SECRET,
{ expiresIn: "7d" }
);
await redis.setex(`rt:${userId}`, 7 * 86400, newRefreshToken);
return newRefreshToken;
}Refresh Token 旋转机制:防止令牌重放攻击,每次使用后生成新令牌并标记旧令牌为已使用。
5.4 JWKS 端点设计
在微服务架构中,使用 JWKS(JSON Web Key Set)实现密钥分发:
const jwksRsa = require("jwks-rsa");
const keypair = jwksRsa.generateKeyPairSync(2048);
app.get("/.well-known/jwks.json", (req, res) => {
res.json({
keys: [
{
kty: "RSA",
use: "sig",
kid: "1",
n: keypair.publicKey.n.toString("base64"),
e: keypair.publicKey.e.toString("base64"),
},
],
});
});
function verifyJWT(token) {
return new Promise((resolve, reject) => {
jwt.verify(
token,
(header, callback) => {
jwksClient.getSigningKey(header.kid, (err, key) => {
callback(null, key.getPublicKey());
});
},
(err, decoded) => {
if (err) reject(err);
else resolve(decoded);
}
);
});
}JWKS 端点实现:动态分发公钥,服务端自动获取最新公钥验证 JWT 签名,便于密钥管理。
6. 安全考虑与漏洞防范
6.1 常见安全威胁
| 威胁类型 | 描述 | 防范措施 |
|---|---|---|
| 令牌窃取 | 中间人攻击获取令牌 | 强制使用 HTTPS,设置短过期时间 |
| 重放攻击 | 重复使用已过期的令牌 | 使用 jti 字段,实现令牌黑名单 |
| 算法混淆 | 强制使用 none 算法 | 明确指定支持的算法列表 |
| 时序攻击 | 通过响应时间差异进行攻击 | 使用恒定时间比较函数 |
6.2 令牌吊销机制
即使 JWT 是无状态的,也可以实现令牌吊销:
app.post("/revoke", authenticateToken, async (req, res) => {
const { jti } = req.user;
const ttl = req.user.exp - Math.floor(Date.now() / 1000);
await redis.setex(`blacklist:${jti}`, ttl, "1");
res.json({ message: "令牌已吊销" });
});
function enhancedAuthenticateToken(req, res, next) {
if (await redis.exists(`blacklist:${payload.jti}`)) {
return res.status(401).json({ message: "令牌已被吊销" });
}
next();
}令牌吊销机制:通过 Redis 黑名单实现令牌吊销,TTL 设置自动清理过期条目。
6.3 安全头部配置
// 安全头部配置
app.use((req, res, next) => {
res.setHeader(
"Strict-Transport-Security",
"max-age=31536000; includeSubDomains"
);
res.setHeader("X-Content-Type-Options", "nosniff");
res.setHeader("X-Frame-Options", "DENY");
res.setHeader("X-XSS-Protection", "1; mode=block");
next();
});7. 性能优化与扩展性
7.1 算法性能对比
| 算法 | 签名速度 | 验证速度 | 密钥长度 | 推荐场景 |
|---|---|---|---|---|
| HS256 | 快 | 快 | 256 位 | 单服务环境 |
| RS256 | 慢 | 快 | 2048 位 | 微服务架构 |
| ES256 | 中等 | 快 | 256 位 | 移动设备 |
7.2 缓存策略
const jwtCache = new Map();
async function cachedJwtVerify(token) {
const cacheKey = `jwt:${token}`;
if (jwtCache.has(cacheKey)) {
return jwtCache.get(cacheKey);
}
const result = await jwt.verifyAsync(token, SECRET);
jwtCache.set(cacheKey, result);
setTimeout(() => {
jwtCache.delete(cacheKey);
}, 60000);
return result;
}JWT 验证缓存:内存缓存已验证令牌,减少签名验证开销,缓存 1 分钟平衡性能与安全。
7.3 水平扩展设计
graph TB
A[客户端] --> B[负载均衡器]
B --> C[API网关1]
B --> D[API网关2]
B --> E[API网关3]
C --> F[认证服务]
D --> F
E --> F
F --> G[Redis集群]
G --> H[(用户会话)]
G --> I[(令牌黑名单)]
G --> J[(刷新令牌)]
C --> K[业务服务1]
D --> L[业务服务2]
E --> M[业务服务3]水平扩展架构:负载均衡分发请求,认证服务集中管理,Redis 集群提供缓存支持。
8. 高级主题与进阶应用
8.1 JWT 在微服务架构中的应用
在微服务环境中,JWT 可以作为服务间认证的标准机制:
graph TB
A[用户] --> B[API网关]
B --> C[认证服务]
C --> D[生成JWT]
D --> E[返回JWT]
E --> B
B --> F[服务A]
B --> G[服务B]
B --> H[服务C]
F --> I[验证JWT]
G --> I
H --> I
I --> J[权限检查]
J --> K[业务处理]微服务 JWT 应用:API 网关统一入口,认证服务生成令牌,业务服务独立验证实现解耦。
服务间 JWT 传递示例:
// 服务间调用携带JWT
async function callInternalService(serviceUrl, jwtToken) {
const response = await fetch(serviceUrl, {
headers: {
Authorization: `Bearer ${jwtToken}`,
"X-Service-Name": "user-service",
},
});
return response.json();
}
// 内部服务验证
app.use("/internal/*", (req, res, next) => {
const token = req.headers.authorization?.replace("Bearer ", "");
const serviceName = req.headers["x-service-name"];
if (!serviceName || !isInternalService(serviceName)) {
return res.status(403).json({ message: "内部服务调用拒绝" });
}
// 验证内部JWT
jwt.verify(token, INTERNAL_SECRET, (err, payload) => {
if (err || payload.aud !== "internal-services") {
return res.status(403).json({ message: "无效的内部令牌" });
}
next();
});
});8.2 JWT 与 OAuth 2.0 集成
JWT 可以作为 OAuth 2.0 的访问令牌格式:
sequenceDiagram
participant C as 客户端
participant A as 授权服务器
participant R as 资源服务器
C->>A: 授权请求
A->>A: 验证用户身份
A->>A: 生成JWT访问令牌
A-->>C: 返回JWT令牌
C->>R: 资源请求 + JWT
R->>R: 验证JWT签名
R->>R: 检查scope权限
R-->>C: 返回资源数据OAuth 2.0 集成:JWT 作为访问令牌,包含权限范围,资源服务器独立验证令牌。
OAuth 2.0 JWT 令牌示例:
{
"iss": "https://auth.example.com",
"sub": "user123",
"aud": "https://api.example.com",
"exp": 1735689600,
"iat": 1735686000,
"scope": "read:profile write:posts",
"client_id": "mobile-app",
"jti": "abc123def456"
}9. 监控与运维
9.1 JWT 使用监控
const jwtMetrics = {
tokensIssued: 0,
tokensVerified: 0,
verificationErrors: 0,
tokenExpirations: 0,
};
app.use((req, res, next) => {
const start = Date.now();
res.on("finish", () => {
const duration = Date.now() - start;
if (req.path === "/login") {
jwtMetrics.tokensIssued++;
}
recordMetric("jwt_operation", {
endpoint: req.path,
method: req.method,
duration: duration,
status: res.statusCode,
});
});
next();
});JWT 使用监控:记录令牌签发、验证、错误等指标,用于负载分析和异常识别。
9.2 安全审计日志
function auditJwtOperation(operation, token, user, success, details) {
const auditLog = {
timestamp: new Date().toISOString(),
operation: operation,
tokenId: token?.jti,
userId: user?.id,
success: success,
ip: req.ip,
userAgent: req.headers["user-agent"],
details: details,
};
sendToSIEM(auditLog);
}安全审计日志:记录认证操作详情,便于事件调查和合规检查。
10. 常见问题与解决方案
10.1 JWT 大小限制问题
问题:JWT 过大导致 HTTP 头超限
解决方案:
优化 Payload 内容 使用压缩算法 分页传输大型数据
// Payload优化示例
const optimizedPayload = {
sub: user.id,
ver: "v2", // 数据版本
// 使用缩写字段
r: user.role, // role
p: user.permissions, // permissions
// 移除不必要字段
// name: user.name, // 移到用户信息接口
// email: user.email // 移到用户信息接口
};10.2 时钟同步问题
问题:服务器间时钟不同步导致令牌验证失败
解决方案:
// 容忍时钟漂移
jwt.verify(token, secret, {
algorithms: ["RS256"],
clockTolerance: 30, // 30秒容忍度
clockTimestamp: Math.floor(Date.now() / 1000),
});10.3 密钥轮换无缝迁移
// 多密钥支持
function verifyWithKeyRotation(token) {
const keys = [
{ kid: "2024-02", secret: currentSecret },
{ kid: "2024-01", secret: previousSecret },
];
for (const key of keys) {
try {
return jwt.verify(token, key.secret);
} catch (err) {
// 继续尝试下一个密钥
}
}
throw new Error("令牌验证失败");
}JWT 作为一种成熟的身份验证技术,在现代 Web 应用中发挥着重要作用。
版权声明
若无特别说明,本站内容均为本站作者原创发布,未经许可,禁止商业用途。
转载请注明出处:https://jscodes.cn/posts/2025_jwt
评论 (0)
暂无评论
成为第一个评论的人吧!