JWT面试题

一，什么是JWT

JSON Web Token（缩写 JWT）是目前最流行的跨域认证解决方案

JWT总的来说是用来解决session的共享的问题的

1，JWT的原理

JWT 的原理是，服务器认证以后，生成一个 JSON 对象，发回给用户，就像下面这样。

{

"姓名": "张三",

"角色": "管理员",

"到期时间": "2018年7月1日0点0分"

}

以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名（详见后文）。

服务器就不保存任何 session 数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。

2，JWT的数据结构

一般来说JWT,是由三部分组成的：

实际的 JWT 大概就像下面这样。

它是一个很长的字符串，中间用点（.）分隔成三个部分。注意，JWT 内部是没有换行的，这里只是为了便于展示，将它写成了几行。

JWT 的三个部分依次如下。

Header（头部）明文
Payload（负载）明文
Signature（签名）

写成一行，就是下面的样子。

Header.Payload.Signature

第一部分：Header

Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。

{

"alg": "HS256",

"typ": "JWT"

}

上面代码中，

alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；

typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT。

最后，将上面的 JSON 对象使用 Base64URL 算法（详见后文）转成字符串。

第二部分：Payload

Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用。

iss (issuer)：签发人

exp (expiration time)：过期时间

sub (subject)：主题

aud (audience)：受众

nbf (Not Before)：生效时间

iat (Issued At)：签发时间

jti (JWT ID)：编号

除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分。

这个 JSON 对象也要使用 Base64URL 算法转成字符串。

第三部分：Signature

我们主要学习的就是第三部分也是整个JWT的核心

签名，利用“加密算法”对JWT进行签名，保证没有被篡改过，值得注意的是，这里的数据都是明文的，算法实际上执行的是最后的数据签名功能，只能保证“不被篡改”，而不是保证“不被解密”，虽然不能保证不能被破解但是只要他改动我们就不认可他，所以后面看到“加密、解密”，其实都是为签名服务的。

首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload), secret)

算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就可以返回给用户。

Base64URL

前面提到，Header 和 Payload 串型化的算法是 Base64URL。这个算法跟 Base64 算法基本类似，但有一些小的不同。

JWT 作为一个令牌（token），有些场合可能会放到 URL（比如 api.example.com/?token=xxx）。Base64 有三个字符+、/和=，在 URL 里面有特殊含义，所以要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

二，为什么要使用JTW

我们上面都说了主要是解决session的共享的问题，而在一个节点的登录之后就自动会自动的登录其他的节点，比如腾讯的网站，在一个网站登录了之后在其他网站就会自动登录，所以我们要解决这个问题

一，跨域认证的问题

我们互联网服务离不开用户认证，一般流程是下面这样

1、用户向服务器发送用户名和密码。

2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。

3、服务器向用户返回一个 session_id，写入用户的 Cookie。

4、用户随后的每一次请求，都会通过 Cookie，将 session_id 传回服务器。

5、服务器收到 session_id，找到前期保存的数据，由此得知用户的身份。

这种模式的问题在于，扩展性不好。单机当然没有问题，如果是服务器集群，或者是跨域的服务导向架构，就要求 session 数据共享，每台服务器都能够读取 session。

我们解决的方法有几种

方法一：就是session的数据持久化，写入数据库的持久层或者其他的持久层，各种的服务收到请求后，都会向持久层请求数据，这种优点是架构清晰，缺点是工程量比较大，还会增加数据库的压力，数据库一挂就会失败

方法二：是服务器中干脆不保存session(是一种用于记录用户状态的机制，广泛应用于Web应用程序中，尤其是在用户认证和授权方面。在一次用户会话期间，服务器创建一个唯一的Session ID，并将其发送给客户端（通常通过Cookie或URL重写等方式）。客户端在后续请求中将Session ID返回给服务器，服务器根据Session ID找到对应的Session对象，从而恢复用户的会话状态。) 数据了,所有的数据都保存在客户端中，每次请求都发回服务器。

一共有四种解决方法：

1，粘贴会话

2，会话复制

3，session 数据集中存储

4，基于Token 的认证（如JWT）

我们主要学习的就是基于Token 的认证

把用户的信息存储在客户中，服务端的app就是无状态的，微服务也是无状态的

三，JWT的使用方法

客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

此后，客户端每次与服务器通信，都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

另一种做法是，跨域的时候，JWT 就放在 POST 请求的数据体里面。

总的来说就是：我们使用基于Token的认证如JWT或者自定义Token实现无状态认证,使用JWT 将用户的信息和权限编码存储到Token中，Token 由客户端存储（如Cookie 和 LocalStorage 虽然某些意义上LocalStorage更具有优势），每次请求时附加到HTTP Header（头部）中，服务器无需维护Session 状态只需要解析Token 即可验证用户身份，（虽然签名可以被篡改但是只要动一下哪怕是一共空格，与我们存在客户端的签名不一致，就验证失败）

总的来说，实现Session 共享的关键在于选择一种既能满足业务需求，又能适应分布式架构的技术方案，同时考虑到性能，可靠性，安全性等因素，目前在云原生和微服务架构中，采用Token 认证或Session 数据集中存储的方式越来越普遍。

补充：

Cookie 与 localStorage的区别与优势

Cookie:

区别：

存储大小：Cookie的存储空间是4kKBlocalStorage 存储空间是5MB

数据传输：Cookie 在每次 HTTP 请求时自动附加到请求头中，并发送到服务器端。这可能导致额外的网络开销，特别是当Cookie数量多或体积较大时。而 LocalStorage 数据仅在本地存储，不会自动随请求发送至服务器。

过期时间：Cookie 可以设置过期时间，过期后浏览器会自动删除。而 LocalStorage 数据除非手动清除，否则永久存储，即除非明确删除，否则数据将持续存在。

隐私与安全：因为Cookie经常在网络上传输，所以需要关注安全问题，比如可以通过设置 HttpOnly 标志防止JavaScript访问，使用Secure标志要求在HTTPS连接下传输。Localstorage虽然也是在客户端存储，但由于不随请求发送，因此不存在在网络传输过程中的安全问题，但本地存储的数据依然可能被恶意脚本访问。

优势：

适用于保持用户状态：Cookie 因其自动随请求发送的特点，适合于维持用户登录状态、跟踪用户偏好等场景

LocalStorage

大容量存储：LocalStorage 提供更大的存储空间，适合存储大量客户端使用的数据，如应用程序的配置信息、缓存数据等。
高效性：相比Cookie，LocalStorage减少了不必要的网络流量，尤其对于那些不需要服务器知道的客户端状态信息，可以提高性能。
持久化存储：LocalStorage提供一种简单易用的本地持久化存储方式，数据在浏览器重启后仍然保留，方便实现离线功能或持久化的用户界面状态。
更简单的API：LocalStorage提供了简洁的API接口，可以直接调用setItem(), getItem(), 和 removeItem() 进行数据的读写操作。