jwt单点登录原理，jwt怎么单点登录

《深入解析JWT实现单点登录的原理与实践》

一、单点登录概述

图片来源于网络，如有侵权联系删除

单点登录（Single Sign - On，SSO）是一种身份验证机制，它允许用户使用一组凭据（如用户名和密码）登录到多个相关的应用程序或系统中，而无需在每个应用程序中单独进行登录操作，这种机制提高了用户体验的便捷性，同时也便于企业对用户身份管理和安全控制。

二、JWT（JSON Web Token）简介

JWT是一种开放标准（RFC 7519），用于在各方之间安全地传输信息，它以紧凑且自包含的方式将信息编码为JSON对象，这些信息可以被验证和信任，JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

1、头部（Header）

- 头部通常包含两部分信息：令牌的类型（通常是JWT）和所使用的签名算法，如HMAC - SHA256、RSA等。

```json

{

"alg": "HS256",

"typ": "JWT"

}

```

- 这个头部信息经过Base64Url编码后成为JWT的第一部分。

2、载荷（Payload）

- 载荷包含了一些声明（Claims），这些声明是关于用户或其他实体的信息，有三种类型的声明：注册声明（Registered Claims）、公共声明（Public Claims）和私有声明（Private Claims）。

- 注册声明包括一些预定义的属性，如“iss”（发行者）、“exp”（过期时间）、“sub”（主题，通常是用户标识）等。

```json

{

图片来源于网络，如有侵权联系删除

"sub": "1234567890",

"name": "John Doe",

"iat": 1516239022

}

```

- 公共声明是可以由使用JWT的各方定义的，但应该避免冲突，私有声明是特定于应用程序的自定义信息，载荷部分也经过Base64Url编码成为JWT的第二部分。

3、签名（Signature）

- 签名是为了验证消息在传递过程中没有被篡改，它是通过将头部和载荷部分用一个密钥（在对称加密算法中）或者私钥（在非对称加密算法中）按照指定的算法进行加密生成的，对于HS256算法，签名是通过以下方式计算的：

- HMACSHA256( base64UrlEncode(header)+"."+base64UrlEncode(payload), secret)

三、JWT实现单点登录的原理

1、用户登录与令牌生成

- 当用户在单点登录系统（通常是身份验证服务器）中登录时，服务器验证用户的凭据（如用户名和密码），如果验证成功，服务器会生成一个JWT，这个JWT包含了用户的身份信息以及可能的权限信息等，服务器可能会在载荷中包含用户的角色（如“admin”或“user”）。

- 服务器使用一个密钥（在对称加密情况下）或者私钥（在非对称加密情况下）对JWT进行签名，确保其完整性和真实性。

2、令牌传递与验证

- 一旦JWT生成，它会被发送到客户端（如浏览器），当客户端尝试访问其他受保护的应用程序（资源服务器）时，它会将JWT包含在请求中，通常是在HTTP头部的“Authorization”字段中，格式为“Bearer <JWT>”。

- 资源服务器接收到请求后，首先会验证JWT的签名，如果使用的是对称加密，资源服务器使用与身份验证服务器相同的密钥来验证签名；如果是使用非对称加密，资源服务器使用身份验证服务器的公钥来验证签名。

- 资源服务器会检查JWT中的声明，如过期时间（“exp”）等，如果JWT有效，资源服务器就可以根据JWT中的信息（如用户标识和权限）来决定是否允许用户访问请求的资源。

图片来源于网络，如有侵权联系删除

3、跨域与单点登录

- 在多应用的环境中，可能存在跨域的情况，JWT非常适合处理跨域单点登录，由于JWT是自包含的，并且可以在不同的域之间安全地传输，只要各个应用程序（资源服务器）都能够验证JWT的签名和解析其内容，就可以实现跨域的单点登录。

- 一个企业可能有多个子公司的不同应用，分别部署在不同的域名下，使用JWT单点登录，用户在登录到其中一个应用后，可以无缝地访问其他相关应用，而无需再次登录。

4、单点登出

- 在JWT单点登录中，单点登出相对复杂一些，因为JWT一旦颁发给客户端，在有效期内是可以独立使用的，一种常见的实现单点登出的方法是维护一个黑名单，当用户在单点登录系统中登出时，身份验证服务器将该用户的JWT添加到黑名单中。

- 资源服务器在验证JWT时，除了常规的签名和声明检查外，还需要检查该JWT是否在黑名单中，如果在黑名单中，则拒绝访问，即使JWT本身在有效期内且签名正确。

四、JWT单点登录的优势

1、无状态性

- 与传统的基于会话（Session）的身份验证不同，JWT是无状态的，资源服务器不需要在服务器端存储关于用户会话的任何信息，这使得服务器的扩展性更好，因为不需要为了维护会话状态而进行复杂的集群和数据同步操作。

2、跨平台和语言支持

- 由于JWT是基于JSON的开放标准，几乎所有的编程语言和平台都有对JSON的支持，因此很容易在不同的技术栈中实现JWT的生成、解析和验证，这使得它非常适合在微服务架构、移动应用开发以及企业级多系统集成等场景中使用。

3、安全性和可靠性

- 通过签名机制，JWT可以确保在传输过程中的完整性和真实性，合理设置过期时间等声明可以控制令牌的有效性，减少安全风险，由于JWT可以包含加密的信息，在必要时可以对敏感信息进行加密传输。

4、灵活性

- 开发人员可以根据具体需求自定义JWT中的载荷内容，添加各种与用户或业务相关的信息，如用户偏好、权限范围等，这使得JWT在不同的业务场景下都能很好地适应。

JWT通过其独特的结构和机制，为单点登录提供了一种高效、安全、灵活且易于实现的解决方案，在现代的企业级应用和互联网应用中有着广泛的应用前景。

标签： #JWT #单点登录 #原理 #验证