面试题答案
一键面试JWT工作原理
- 生成令牌:用户在客户端输入凭据(如用户名和密码),发送到认证服务器。认证服务器验证用户身份,如果合法,会根据用户信息生成一个JWT。这个JWT包含用户的身份信息以及其他相关元数据。
- 传输令牌:认证服务器将生成的JWT返回给客户端。客户端在后续的请求中,会将JWT放在请求头(通常是
Authorization头,格式为Bearer <token>)或者其他合适位置(如查询参数,但不推荐,因为不够安全)发送到资源服务器。 - 验证令牌:资源服务器接收到请求及JWT后,会验证JWT的签名以确保令牌未被篡改。如果签名验证通过,资源服务器从JWT中解析出用户身份等信息,根据这些信息来决定是否授权此次请求。
适用于多租户场景的原因
- 无状态:JWT使得认证过程无状态,资源服务器无需在服务端存储关于用户会话的任何信息,这对于多租户系统非常有利,因为不同租户的请求量可能很大,无状态可以减少服务端存储开销,并且易于横向扩展,多个服务器实例都可以独立验证JWT,处理不同租户请求。
- 自包含:JWT包含了所有验证和授权所需的信息,如用户身份、租户信息、权限等。资源服务器可以直接从JWT中获取这些信息,无需再向认证服务器或其他存储服务进行额外查询,这提高了认证和授权的效率,特别适用于多租户环境下不同租户有不同访问规则的场景。
- 跨域支持:在多租户系统中,不同租户的应用可能部署在不同的域下。JWT基于HTTP协议,通过请求头发送,很好地支持跨域场景,只要在不同域之间配置好CORS(跨域资源共享)策略,就可以在不同租户应用间传递和验证JWT。
JWT组成部分及其在多租户系统身份验证中的作用
- 头部(Header):
- 内容:通常由两部分组成,令牌类型(如JWT)和所使用的签名算法(如HMAC SHA256或RSA)。例如:
{ "alg": "HS256", "typ": "JWT" },然后经过Base64Url编码形成JWT的第一部分。 - 作用:在多租户系统中,头部告知资源服务器如何验证JWT的签名,不同租户可能使用不同的签名算法(虽然不常见,但理论上可行),资源服务器根据头部信息选择正确的验证方式。
- 内容:通常由两部分组成,令牌类型(如JWT)和所使用的签名算法(如HMAC SHA256或RSA)。例如:
- 负载(Payload):
- 内容:是一个包含声明(claims)的JSON对象。这些声明可以是关于用户的信息(如用户ID、用户名)、租户信息(如租户ID、租户名称)、权限信息(如角色、可访问的资源列表)以及过期时间等。例如:
{ "sub": "1234567890", "name": "John Doe", "tenant_id": "tenant123", "role": "admin", "exp": 1679008992 },然后经过Base64Url编码形成JWT的第二部分。 - 作用:在多租户系统身份验证中,负载中的租户信息明确标识请求来自哪个租户,资源服务器可以根据租户ID等信息进行基于租户的授权决策,如不同租户有不同的资源访问权限。过期时间声明可以确保JWT在一定时间后失效,增强安全性。
- 内容:是一个包含声明(claims)的JSON对象。这些声明可以是关于用户的信息(如用户ID、用户名)、租户信息(如租户ID、租户名称)、权限信息(如角色、可访问的资源列表)以及过期时间等。例如:
- 签名(Signature):
- 内容:为了创建签名部分,需要使用编码后的头部、编码后的负载、一个密钥(secret)和头部中指定的签名算法。例如,如果使用HMAC SHA256算法,签名将按如下方式创建:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)。 - 作用:在多租户系统中,签名用于验证JWT在传输过程中没有被篡改,同时确保JWT是由合法的认证服务器生成。资源服务器使用相同的密钥(如果是对称加密算法,如HS256)或对应公钥(如果是非对称加密算法,如RSA)来验证签名。不同租户的JWT可以使用不同密钥进行签名,进一步增强安全性和隔离性。
- 内容:为了创建签名部分,需要使用编码后的头部、编码后的负载、一个密钥(secret)和头部中指定的签名算法。例如,如果使用HMAC SHA256算法,签名将按如下方式创建: