JSON Web Token(JWT、JWS、JSE)

JWS只是JWT的一種實現，除了JWS外，JWE(JSON Web Encryption)也是JWT的一種實現：

一個JWT（這里應該是JWS），應該是如下形式的：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

這些東西看上很凌亂，但是非常緊湊，并且是可打印的主要用于驗證簽名的真實性。

JWT的主要目的是在服務端和客戶端之間以安全的方式來轉移聲明。主要的應用場景如下所示：

1.認證 Authentication；

2.授權 Authorization // 注意這兩個單詞的區別；

3.聯合識別；

4.客戶端會話（無狀態的會話）；

5.客戶端機密。

1.JWS：Signed JWT簽名過的jwt

2.JWE：Encrypted JWT部分payload經過加密的jwt；

目前加密payload的操作不是很普及；

3.JWK：JWT的密鑰，也就是我們常說的scret；

4.JWKset：JWT key set在非對稱加密中，需要的是密鑰對而非單獨的密鑰，在后文中會闡釋；

5.JWA：當前JWT所用到的密碼學算法；

6.nonsecure JWT：當頭部的簽名算法被設定為none的時候，該JWT是不安全的；因為簽名的部分空缺，所有人都可以修改。

一個通常你看到的jwt，由以下三部分組成，它們分別是：

1.header：主要聲明了JWT的簽名算法；

2.payload：主要承載了各種聲明并傳遞明文數據；

3.signture：擁有該部分的JWT被稱為JWS，也就是簽了名的JWS；沒有該部分的JWT被稱為nonsecure JWT 也就是不安全的JWT，此時header中聲明的簽名算法為none。

三個部分用·分割。形如 xxxxx.yyyyy.zzzzz的樣式。

{  "typ": "JWT",  "alg": "none",  "jti": "4f1g23a12aa"}

頭通常由兩部分組成：令牌的類型，即JWT，alg代表正在使用的散列算法，例如HMAC SHA256或RSA。

當然，還有兩個可選的部分，一個是jti，也就是JWT ID，代表了正在使用JWT的編號，這個編號在對應服務端應當唯一。當然，jti也可以放在payload中。

另一個是cty，也就是content type。這個比較少見，當payload為任意數據的時候，這個頭無需設置，但是當內容也帶有jwt的時候。也就是嵌套JWT的時候，這個值必須設定為jwt。這種情況比較少見。

jwt header 的加密算法

加密的方式如下：

base64UrlEncode(header)>> eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIiwianRpIjoiNGYxZzIzYTEyYWEifQ

{  "iss": "http://shaobaobaoer.cn",  "aud": "http://shaobaobaoer.cn/webtest/jwt_auth/",  "jti": "4f1g23a12aa",  "iat": 1534070547,  "nbf": 1534070607,  "exp": 1534074147,  "uid": 1,  "data": {    "uname": "shaobao",    "uEmail": "shaobaobaoer@126.com",    "uID": "0xA0",    "uGroup": "guest"
  }
}

payload通常由三個部分組成，分別是 Registered Claims ; Public Claims ; Private Claims ;每個聲明，都有各自的字段。

Registered Claims

iss  【issuer】發布者的url地址

sub 【subject】該JWT所面向的用戶，用于處理特定應用，不是常用的字段

aud 【audience】接受者的url地址

exp 【expiration】 該jwt銷毀的時間；unix時間戳

nbf  【not before】 該jwt的使用時間不能早于該時間；unix時間戳

iat   【issued at】 該jwt的發布時間；unix 時間戳

jti    【JWT ID】 該jwt的唯一ID編號

Public Claims這些可以由使用JWT的那些標準化組織根據需要定義，應當參考文檔IANA JSON Web Token Registry。

Private Claims這些是為在同意使用它們的各方之間共享信息而創建的自定義聲明，既不是注冊聲明也不是公開聲明。上面的payload中，沒有public claims只有private claims。

加密的方式如下：

base64UrlEncode(payload)>> eyJpc3MiOiJodHRwOi8vc2hhb2Jhb2Jhb2VyLmNuIiwiYXVkIjoiaHR0cDovL3NoYW9iYW9iYW9lci5jbi93ZWJ0ZXN0L2p3dF9hdXRoLyIsImp0aSI6IjRmMWcyM2ExMmFhIiwiaWF0IjoxNTM0MDcwNTQ3LCJuYmYiOjE1MzQwNzA2MDcsImV4cCI6MTUzNDA3NDE0NywidWlkIjoxLCJkYXRhIjp7InVuYW1lIjoic2hhb2JhbyIsInVFbWFpbCI6InNoYW9iYW9iYW9lckAxMjYuY29tIiwidUlEIjoiMHhBMCIsInVHcm91cCI6Imd1ZXN0In19

所以，在JWT中，不應該在載荷里面加入任何敏感的數據。在上面的例子中，我們傳輸的是用戶的User ID，郵箱等。這個值實際上不是什么敏感內容，一般情況下被知道也是安全的。但是像密碼這樣的內容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中，那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。

當然，這也是有解決方案的，那就是加密payload。在之后會說到。

JWS ，也就是JWT Signature，其結構就是在之前nonsecure JWT的基礎上，在頭部聲明簽名算法，并在最后添加上簽名。創建簽名，是保證jwt不能被他人隨意篡改。

為了完成簽名，除了用到header信息和payload信息外，還需要算法的密鑰，也就是secret。當利用非對稱加密方法的時候，這里的secret為服務器保管的私鑰。

為了方便后文的展開，我們把JWT的密鑰或者密鑰對，統一稱為JSON Web Key，也就是JWK。

jwt signature 的簽名算法

RSASSA || ECDSA || HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)>> GQPGEpixjPZSZ7CmqXB-KIGNzNl4Y86d3XOaRsfiXmQ>> # 上面這個是用 HMAC SHA256生成的

到目前為止，jwt的簽名算法有三種。

對稱加密HMAC【哈希消息驗證碼】：HS256/HS384/HS512

非對稱加密RSASSA【RSA簽名算法】（RS256/RS384/RS512）和ECDSA【橢圓曲線數據簽名算法】（ES256/ES384/ES512）

最后將簽名與之前的兩段內容用.連接，就可以得到經過簽名的JWT，也就是JWS。

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiIsImp0aSI6IjRmMWcyM2ExMmFhIn0.eyJpc3MiOiJodHRwOi8vc2hhb2Jhb2Jhb2VyLmNuIiwiYXVkIjoiaHR0cDovL3NoYW9iYW9iYW9lci5jbi93ZWJ0ZXN0L2p3dF9hdXRoLyIsImp0aSI6IjRmMWcyM2ExMmFhIiwiaWF0IjoxNTM0MDcwNTQ3LCJuYmYiOjE1MzQwNzA2MDcsImV4cCI6MTUzNDA3NDE0NywidWlkIjoxLCJkYXRhIjp7InVuYW1lIjoic2hhb2JhbyIsInVFbWFpbCI6InNoYW9iYW9iYW9lckAxMjYuY29tIiwidUlEIjoiMHhBMCIsInVHcm91cCI6Imd1ZXN0In19.GQPGEpixjPZSZ7CmqXB-KIGNzNl4Y86d3XOaRsfiXmQ

當驗證簽名的時候，利用公鑰或者密鑰來解密Sign，和 base64UrlEncode(header) + “.” + base64UrlEncode(payload) 的內容完全一樣的時候，表示驗證通過。

如果對于CA有些概念的話，這些內容會比較好理解一些。為了確保服務器的密鑰對可靠有效，同時也方便第三方CA機構來簽署JWT而非本機服務器簽署JWT，對于JWS的頭部，可以有額外的聲明，以下聲明是可選的，具體取決于JWS的使用方式。如下所示：

jku: 發送JWK的地址；最好用HTTPS來傳輸

jwk: 就是之前說的JWK

kid: jwk的ID編號

x5u: 指向一組X509公共證書的URL

x5c: X509證書鏈

x5t：X509證書的SHA-1指紋

x5t#S256: X509證書的SHA-256指紋

typ: 在原本未加密的JWT的基礎上增加了 JOSE 和 JOSE+ JSON。JOSE序列化后文會說及。適用于JOSE標頭的對象與此JWT混合的情況。

crit: 字符串數組，包含聲明的名稱，用作實現定義的擴展，必須由 this->JWT的解析器處理。不常見。

當需要多重簽名或者JOSE表頭的對象與JWS混合的時候，往往需要用到JWS的序列化。JWS的序列化結構如下所示:

{    "payload": "eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ","signatures": 
    [
        {            "protected": "eyJhbGciOiJSUzI1NiJ9",            "header": { "kid": "2010-12-29" },            "signature":"signature1"
        },
        {            "protected": "eyJhbGciOiJSUzI1NiJ9",            "header": { "kid": "e9bc097a-ce51-4036-9562-d2ade882db0d" },            "signature":"signature2"
        },
        ...
    ]
}

結構很容易理解。首先是payload字段，這個不用多講，之后是signatures字段，這是一個數組，代表著多個簽名。每個簽名的結構如下：

protected：之前的頭部聲明，利用b64uri加密；

header：JWS的額外聲明，這段內容不會放在簽名之中，無需驗證；

signature：也就是對當前header+payload的簽名。

JWE是一個很新的概念，總之，除了jwt的官方手冊外，很少有網站或者博客會介紹這個東西。也并非所有的庫都支持JWE。這里記錄一下自己看官方手冊后理解下來的東西。

JWS是去驗證數據的，而JWE（JSON Web Encryption）是保護數據不被第三方的人看到的。通過JWE，JWT變得更加安全。

JWE和JWS的公鑰私鑰方案不相同，JWS中，私鑰持有者加密令牌，公鑰持有者驗證令牌。而JWE中，私鑰一方應該是唯一可以解密令牌的一方。

在JWE中，公鑰持有可以將新的數據放入JWT中，但是JWS中，公鑰持有者只能驗證數據，不能引入新的數據。因此，對于公鑰/私鑰的方案而言，JWS和JWE是互補的。

一個JWE，應該是如下形式的：

eyJhbGciOiJSU0ExXzUiLCJlbmMiOiJBMTI4Q0JDLUhTMjU2In0.
UGhIOguC7IuEvf_NPVaXsGMoLOmwvc1GyqlIKOK1nN94nHPoltGRhWhw7Zx0-kFm1NJn8LE9XShH59_
i8J0PH5ZZyNfGy2xGdULU7sHNF6Gp2vPLgNZ__deLKxGHZ7PcHALUzoOegEI-8E66jX2E4zyJKxYxzZIItRzC5hlRirb6Y5Cl_p-ko3YvkkysZIFNPccxRU7qve1WYPxqbb2Yw8kZqa2rMWI5ng8Otv
zlV7elprCbuPhcCdZ6XDP0_F8rkXds2vE4X-ncOIM8hAYHHi29NX0mcKiRaD0-D-ljQTPcFPgwCp6X-nZZd9OHBv-B3oWh2TbqmScqXMR4gp_A.
AxY8DCtDaGlsbGljb3RoZQ.
KDlTtXchhZTGufMYmOYGS4HffxPSUrfmqCHXaI9wOGY.
9hH0vgRfYgPnAHOd8stkvw

如你所見JWE一共有五個部分，分別是：

The protected header，類似于JWS的頭部；

The encrypted key，用于加密密文和其他加密數據的對稱密鑰；

The initialization vector，初始IV值，有些加密方式需要額外的或者隨機的數據；

The encrypted data (cipher text)，密文數據；

The authentication tag，由算法產生的附加數據，來防止密文被篡改。

一般來說，JWE需要對密鑰進行加密，這就意味著同一個JWT中至少有兩種加密算法在起作用。但是并非將密鑰拿來就能用，我們需要對密鑰進行加密后，利用JWK密鑰管理模式來導出這些密鑰。JWK的管理模式有以下五種，分別是：

Key Encryption

Key Wrapping

Direct Key Agreement

Key Agreement with Key Wrapping

Direct Encryption

并不是所有的JWA都能夠支持這五種密鑰管理管理模式，也并非每種密鑰管理模式之間都可以相互轉換。可以參考Spomky-Labs/jose中給出的表格至于各個密鑰管理模式的細節，還請看JWT的官方手冊，解釋起來較為復雜。

就好像是JWS的頭部一樣。JWE的頭部也有著自己規定的額外聲明字段，如下所示：

type：一般是 jwt

alg：算法名稱，和JWS相同，該算法用于加密稍后用于加密內容的實際密鑰

enc：算法名稱，用上一步生成的密鑰加密內容的算法。

zip：加密前壓縮數據的算法。該參數可選，如果不存在則不執行壓縮，通常的值為 DEF，也就是deflate算法

jku/jkw/kid/x5u/x5c/x5t/x5t#S256/typ/cty/crit：和JWS額額外聲明一樣。

步驟2和步驟3，更具不同的密鑰管理模式，應該有不同的處理方式。在此只羅列一些通常情況。

之前談及，JWE一共有五個部分。現在來詳細說一下加密的過程：

1.根據頭部alg的聲明，生成一定大小的隨機數；

2.根據密鑰管理模式確定加密密鑰；

3.根據密鑰管理模式確定JWE加密密鑰，得到CEK；

4.計算初始IV，如果不需要，跳過此步驟；

5.如果ZIP頭申明了，則壓縮明文；

6.使用CEK，IV和附加認證數據，通過enc頭聲明的算法來加密內容，結果為加密數據和認證標記；

7.壓縮內容，返回token。

base64(header) + '.' +base64(encryptedKey) + '.' + // Steps 2 and 3base64(initializationVector) + '.' + // Step 4base64(ciphertext) + '.' + // Step 6base64(authenticationTag) // Step 6

和JWS類似，JWE也定義了緊湊的序列化格式，用來完成多種形式的加密。大致格式如下所示：

{    "protected": "eyJlbmMiOiJBMTI4Q0JDLUhTMjU2In0",    "unprotected": { "jku":"https://server.example.com/keys.jwks" },    "recipients":[
        {        "header": { "alg":"RSA1_5","kid":"2011-04-29" },        "encrypted_key":        "UGhIOguC7Iu...cqXMR4gp_A"
        },
        {        "header": { "alg":"A128KW","kid":"7" },        "encrypted_key": "6KB707dM9YTIgH...9locizkDTHzBC2IlrT1oOQ"
        }
    ],    "iv": "AxY8DCtDaGlsbGljb3RoZQ",    "ciphertext": "KDlTtXchhZTGufMYmOYGS4HffxPSUrfmqCHXaI9wOGY",    "tag": "Mz-VPPyU4RlcuYv1IwIvzw"}

結構很容易理解，如下所示：

protected：之前的頭部聲明，利用b64uri加密；

unprotected：一般放JWS的額外聲明，這段內容不會被b64加密；

iv：64加密后的iv參數；

add：額外認證數據；

ciphertext：b64加密后的加密數據；

recipients：b64加密后的認證標志-加密鏈，這是一個數組，每個數組中包含了兩個信息；

header：主要是聲明當前密鑰的算法；

encrypted_key：JWE加密密鑰。