关于JWTtoken的管理问题

JWT简介:

　Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。因为网络上有很多关于jwt的详细介绍了，所以我这里就不再赘述。但是JWT的大概还是要简要讲一下的。

　　众所周知，在现在的互联网世界中，越来越多的网站之间因为业务关系需要频繁的跨域互相访问，但是由于HTTP协议的同源策略，在跨域访问中如何携带用户个人信息认证就是一个大问题了。为了安全，cookie是只能在同域名下才能作用，这也使之前一直常用的session和cookie来保持用户状态的机制在这种情况下无能为力。而JWT也由此应运而生，越来越多的应用在了大型网站的单点登录中了。

　　简单叙述一下jwt的构成，jwt总共由3个部分构成，分别是header头部，用来存储该token的加密方式和一些简介。payload部分，用来存储用户的非敏感信息和一些因为业务需要所需的数据。而header和payload都是json格式的数据，通过可以互相转化的base64转码成字符串，这也是为什么在token中不要携带用户敏感信息的圆心。最后的部分是signature,它由保存在公司内部的密钥和前面的header还有payload通过header部分里声明的加密方式以及一些加盐操作加密而成。三个部分分别用 . 隔开，最终形成header.payload.signature这个形式。

header:
{
  'typ': 'JWT',
  'alg': 'HS256'
}

base64(header)  --> eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

payload:
{
  "sub": "",
  "name": "John Doe",
  "admin": true
}

base64(payload)  --> eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

最终组成 eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
    

　　JWT是在用户注册或者登陆之后通过服务器签发给客户端，大部分客户端通过localstorage来存储token，这样就可以在前端发起请求时主动携带上token，然后服务器接收之后通过验证来判断该用户的认证信息了。也有少部分客户端是将token存储在cookie中的，在此不谈。

　　那么今天要谈的问题来了，因为token是存储在客户端的，那么就表示着一旦服务器在签发token之后，除了等待token到时限失效之外失去了管控token的能力。一旦客户端token丢失等情况发生，就会产生用户安全问题。

　　解决方案:

　　服务器在用户第一次登陆或者注册成功后在签发token时可以给该token配置一个token_id，并保存到服务器的redis或者mysql数据库中。用户在访问时如果携带了token便需要先经过token_id的校验，再进行后面用户身份信息的校验。一旦用户发起安全申请，便立即删除服务器保存的token_id，而用户携带的token在token_id这个步骤的校验失败之后便会跳转到登录界面，由服务器重新签发token。