jwt单点登录用法跨域，jwt单点登录原理

《深度解析JWT单点登录原理：跨域应用的安全高效之道》

一、JWT简介

JSON Web Token（JWT）是一种开放标准（RFC 7519），它定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息，JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

头部通常包含两部分信息：令牌的类型（即JWT）和使用的签名算法，如HMAC - SHA256或RSA等，载荷包含了一些声明（Claims），这些声明可以是预定义的标准声明（如iss表示签发者、sub表示主题、exp表示过期时间等），也可以是自定义的业务相关声明，签名则是通过对头部和载荷进行特定算法的加密处理，用于验证消息的发送者以及消息是否被篡改。

二、单点登录（SSO）概念

图片来源于网络，如有侵权联系删除

单点登录是一种身份验证机制，允许用户使用一组凭据（如用户名和密码）登录到多个相关的应用程序或系统，在传统的多应用场景中，用户可能需要在每个应用中单独登录，这不仅繁琐，而且容易导致用户体验不佳和安全风险增加。

三、JWT单点登录原理

1、用户认证

- 当用户首次尝试访问受保护的应用程序（例如App1）时，会被重定向到认证服务器，用户在认证服务器上提供用户名和密码进行登录。

- 认证服务器验证用户的凭据，如果验证成功，会创建一个JWT，这个JWT包含了用户的相关信息（如用户ID、角色等）以及一些必要的声明，如过期时间等。

2、JWT的分发

- 认证服务器将生成的JWT作为响应的一部分返回给用户（通常是在HTTP响应的头部或者作为一个单独的字段）。

- 用户浏览器接收到JWT后，会将其存储起来，通常是存储在本地存储（Local Storage）或者Cookie中（虽然使用Cookie存储JWT需要注意跨域相关的安全问题，如防止跨站脚本攻击（XSS））。

3、跨域访问其他应用（App2）

- 当用户尝试访问另一个受保护的应用（App2）时，用户浏览器会将存储的JWT附加到对App2的请求中，这可以通过在HTTP请求的头部添加一个名为“Authorization”的字段，并将JWT的值放入其中（格式通常为“Bearer <JWT value>”）。

图片来源于网络，如有侵权联系删除

- App2接收到带有JWT的请求后，会对JWT进行验证，它首先会检查JWT的签名，以确保消息的完整性和真实性，这需要App2知道认证服务器使用的签名密钥（在一些场景下，多个应用可能共享同一个认证服务器的密钥，或者通过安全的方式获取密钥）。

- App2会检查JWT中的声明，例如检查过期时间是否已过，如果JWT验证成功，App2就可以根据JWT中包含的用户信息（如用户ID和角色）来确定用户的身份，并给予相应的访问权限。

四、JWT单点登录的跨域处理

1、跨域资源共享（CORS）

- 在跨域场景下，浏览器会遵循CORS策略，当App2的域名与App1的域名不同时，App2的服务器需要正确配置CORS相关的响应头，在服务器端需要设置“Access - Control - Allow - Origin”头来指定哪些源（Origin）可以访问该资源，如果App2允许来自App1所在域的请求（包含带有JWT的请求），则可以将App1的域名设置在这个响应头中。

- 对于一些特殊的请求（如非简单请求，像带有自定义头部的请求，如“Authorization”头部用于传递JWT），还需要处理预检请求（OPTIONS请求），服务器需要正确响应预检请求，告知浏览器该请求是否被允许，包括允许的请求方法、头部等信息。

2、避免Cookie的跨域问题

- 如前所述，如果JWT存储在Cookie中，会面临更多的跨域问题，为了避免这些问题，将JWT存储在本地存储中是一种常见的做法，存储在本地存储也有安全风险，例如容易受到XSS攻击，为了减轻这种风险，应用程序需要对用户输入进行严格的过滤和验证，防止恶意脚本注入。

3、统一的认证域

- 在企业级应用中，可以通过设置统一的认证域来简化跨域单点登录，将多个相关的应用都设置在同一个二级域名下（如app1.example.com和app2.example.com），这样在浏览器的同域策略下，JWT的传递和共享会更加方便。

图片来源于网络，如有侵权联系删除

五、JWT单点登录的优势

1、无状态性

- 由于JWT是自包含的，服务器不需要在每次请求时都查询数据库来验证用户身份，这大大提高了系统的性能和可扩展性，尤其是在处理大量并发请求的情况下。

2、分布式架构友好

- 在分布式系统中，不同的服务可能由不同的团队开发和维护，JWT可以方便地在各个服务之间传递用户身份信息，而不需要依赖于集中式的会话管理机制。

3、安全性

- 通过签名机制，JWT可以防止消息被篡改，通过合理设置过期时间等声明，可以控制JWT的有效期，降低安全风险。

JWT单点登录原理为跨域的多应用身份验证提供了一种高效、安全且灵活的解决方案，在现代企业级应用和互联网应用开发中具有广泛的应用前景。

标签： #jwt #单点登录 #用法 #跨域