基于JWT的跨域资源共享解决方案
2021-09-116.8k 阅读
基于JWT的跨域资源共享解决方案
一、JWT基础介绍
JSON Web Token(JWT)是一种用于在网络应用环境间安全传递信息的开放标准(RFC 7519)。JWT通常由三部分组成:头部(Header)、负载(Payload)和签名(Signature)。
- 头部(Header) 头部通常由两部分组成:令牌的类型,即JWT,以及使用的哈希算法,如HMAC SHA256或RSA。以下是一个头部的JSON示例:
{
"alg": "HS256",
"typ": "JWT"
}
然后将这个JSON进行Base64Url编码,形成JWT的第一部分。
- 负载(Payload) 负载是JWT的第二部分,其中包含声明(claims)。声明是关于实体(通常是用户)和其他数据的陈述。有三种类型的声明:注册声明(如iss、exp、sub等)、公共声明和私有声明。例如:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
同样,将这个JSON进行Base64Url编码,形成JWT的第二部分。
- 签名(Signature) 要创建签名部分,需要使用编码后的头部、编码后的负载、一个密钥(secret)和头部中指定的签名算法。例如,如果使用HMAC SHA256算法,签名将按如下方式创建:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret
)
签名用于验证消息在传递过程中没有被更改,并且,在使用私钥签名的情况下,还可以验证JWT的发送者的身份。
二、跨域资源共享(CORS)问题
- 什么是CORS 跨域资源共享(CORS)是一种机制,它使用额外的HTTP头来告诉浏览器 让运行在一个origin(domain)上的Web应用被准许访问来自不同源服务器上的指定的资源。当一个资源从与该资源本身所在的服务器不同的域、协议或端口请求一个资源时,资源会发起一个跨域HTTP请求。
例如,站点A的JavaScript代码试图访问站点B的API。由于JavaScript的同源策略,这通常是不被允许的,除非站点B明确允许来自站点A的跨域请求。
- CORS的工作原理 简单请求(满足以下所有条件的请求为简单请求):
- 使用GET、POST或HEAD方法。
- 除了由用户代理自动设置的首部字段(如Connection、User - Agent等),允许人为设置的首部字段为Fetch规范定义的对CORS安全的首部字段集合(Accept、Accept - Language、Content - Language、Content - Type,其中Content - Type的值仅限于application/x - www - form - urlencoded、multipart/form - data、text/plain)。
对于简单请求,浏览器会在请求头中添加Origin字段,服务器通过检查Origin字段来决定是否允许该跨域请求。如果允许,服务器在响应头中添加Access - Control - Allow - Origin字段,值为请求的Origin或者通配符“*”。
对于非简单请求(如PUT、DELETE方法,或者设置了非CORS安全的首部字段),浏览器会先发起一个预检请求(OPTIONS请求)。预检请求的目的是询问服务器是否允许实际的请求。服务器在预检请求的响应头中通过Access - Control - Allow - Methods、Access - Control - Allow - Headers等字段告诉浏览器实际请求所允许的方法和首部字段。
三、基于JWT解决CORS问题的思路
- JWT在跨域场景中的角色 在基于JWT的跨域资源共享解决方案中,JWT主要用于身份验证和授权。当用户在前端登录时,后端生成JWT并返回给前端。前端在后续的跨域请求中,将JWT放在请求头(通常是Authorization头)中发送给后端。
后端接收到跨域请求后,首先从请求头中提取JWT,然后验证JWT的有效性。如果JWT有效,后端根据JWT中的信息(如用户角色、权限等)决定是否允许该请求访问相应的资源。
- 结合CORS和JWT的流程
- 前端登录:用户在前端输入用户名和密码进行登录。前端将登录信息发送到后端的登录接口。
- 后端生成JWT:后端验证登录信息无误后,生成JWT并返回给前端。
- 前端存储JWT:前端将接收到的JWT存储在本地(如localStorage、sessionStorage或cookie中,需注意不同存储方式的安全性和适用场景)。
- 跨域请求:前端在发起跨域请求时,从本地存储中取出JWT,并将其放在请求头的Authorization字段中,例如:
Authorization: Bearer <jwt_token>。 - 后端验证JWT:后端接收到跨域请求后,从Authorization头中提取JWT,并验证其有效性。如果JWT有效,后端处理请求并返回响应;如果JWT无效,后端返回相应的错误信息。
- 后端处理CORS:后端在处理请求的同时,还需要正确设置CORS相关的响应头,以允许前端的跨域请求。例如,设置
Access - Control - Allow - Origin: <前端域名>,确保前端能够正常接收响应。
四、代码示例(以Node.js和Express框架为例)
- 安装依赖 首先,我们需要安装一些必要的包。在项目目录下运行以下命令:
npm install express jsonwebtoken cors
express:一个流行的Node.js Web应用框架。jsonwebtoken:用于生成和验证JWT。cors:用于处理CORS问题。
- 生成JWT
创建一个简单的登录接口来生成JWT。在
app.js文件中编写以下代码:
const express = require('express');
const jwt = require('jsonwebtoken');
const app = express();
const cors = require('cors');
// 允许跨域请求,这里设置为允许所有来源,实际应用中应替换为具体的前端域名
app.use(cors());
// 模拟用户数据
const users = [
{ username: 'admin', password: 'password123' }
];
app.post('/login', (req, res) => {
const { username, password } = req.body;
const user = users.find(u => u.username === username && u.password === password);
if (user) {
const token = jwt.sign({ username }, 'your_secret_key', { expiresIn: '1h' });
res.json({ token });
} else {
res.status(401).json({ message: 'Invalid credentials' });
}
});
在上述代码中,/login接口接收前端发送的用户名和密码,验证通过后生成一个JWT,有效期为1小时。
- 验证JWT并处理跨域请求 接下来,创建一个需要验证JWT的受保护接口:
app.get('/protected', (req, res) => {
const token = req.headers['authorization'];
if (!token) return res.status(401).json({ message: 'No token provided' });
const bearerToken = token.split(' ')[1];
jwt.verify(bearerToken, 'your_secret_key', (err, decoded) => {
if (err) return res.status(401).json({ message: 'Failed to authenticate token' });
res.json({ message: 'This is a protected route', user: decoded });
});
});
const port = 3000;
app.listen(port, () => {
console.log(`Server running on port ${port}`);
});
在/protected接口中,首先从请求头的Authorization字段中提取JWT,然后验证JWT的有效性。如果验证通过,返回受保护的资源;如果验证失败,返回相应的错误信息。
- 前端示例(使用Axios) 假设我们有一个简单的前端页面,使用Axios进行HTTP请求:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF - 8">
<meta name="viewport" content="width=device - width, initial - scale=1.0">
<title>JWT CORS Example</title>
<script src="https://cdn.jsdelivr.net/npm/axios/dist/axios.min.js"></script>
</head>
<body>
<h1>Login</h1>
<form id="loginForm">
<label for="username">Username:</label>
<input type="text" id="username" name="username" required><br>
<label for="password">Password:</label>
<input type="password" id="password" name="password" required><br>
<input type="submit" value="Login">
</form>
<h1>Protected Resource</h1>
<div id="protectedResource"></div>
<script>
const loginForm = document.getElementById('loginForm');
loginForm.addEventListener('submit', async (e) => {
e.preventDefault();
const username = document.getElementById('username').value;
const password = document.getElementById('password').value;
try {
const response = await axios.post('http://localhost:3000/login', { username, password });
localStorage.setItem('token', response.data.token);
alert('Login successful');
} catch (error) {
alert('Login failed');
}
});
document.addEventListener('DOMContentLoaded', async () => {
const token = localStorage.getItem('token');
if (token) {
try {
const response = await axios.get('http://localhost:3000/protected', {
headers: {
Authorization: `Bearer ${token}`
}
});
document.getElementById('protectedResource').innerHTML = `<p>${response.data.message}</p><p>User: ${response.data.user.username}</p>`;
} catch (error) {
alert('Failed to access protected resource');
}
}
});
</script>
</body>
</html>
在这个前端示例中,用户在登录表单中输入用户名和密码,登录成功后将JWT存储在localStorage中。页面加载时,尝试从localStorage中读取JWT,并在请求受保护资源时将其放在请求头中。
五、安全性考虑
- JWT的安全性
- 密钥管理:用于签名JWT的密钥必须严格保密。如果密钥泄露,攻击者可以伪造JWT,从而访问受保护的资源。建议将密钥存储在环境变量中,并且在生产环境中定期更换密钥。
- 防止JWT劫持:由于JWT通常存储在前端(如localStorage、sessionStorage或cookie中),存在被劫持的风险。为了防止JWT劫持,可以使用HTTP Only cookie来存储JWT,这样JWT就不会被JavaScript访问,从而降低XSS攻击窃取JWT的风险。另外,在传输过程中,始终使用HTTPS来加密数据,防止中间人攻击获取JWT。
- JWT过期时间:合理设置JWT的过期时间。如果过期时间设置过长,一旦JWT被泄露,攻击者将有较长时间利用该JWT进行非法操作;如果过期时间设置过短,用户可能需要频繁重新登录,影响用户体验。可以根据应用的安全需求和用户场景来确定合适的过期时间。
- CORS的安全性
- 限制允许的来源:在设置
Access - Control - Allow - Origin响应头时,应避免使用通配符“*”,而是明确指定允许的前端域名。这样可以防止恶意站点利用CORS漏洞进行跨域攻击。 - 预检请求的安全性:对于预检请求(OPTIONS请求),服务器应正确验证请求的来源和所请求的方法、首部字段等。防止恶意用户通过预检请求探测服务器的配置信息,进而发起攻击。
六、性能优化
- JWT验证性能
- 缓存JWT验证结果:对于一些频繁访问且JWT验证结果在一段时间内不会改变的接口,可以考虑缓存JWT的验证结果。例如,使用Redis等缓存工具,将JWT的验证结果(有效或无效)缓存起来,下次相同JWT的请求到达时,直接从缓存中获取验证结果,减少重复的JWT验证操作,提高性能。
- 优化JWT验证算法:根据应用的实际需求,选择合适的JWT签名算法。例如,HMAC算法相对简单且性能较高,适用于大多数场景;而RSA算法安全性更高,但计算成本也更高。如果应用对性能要求较高且对安全性要求不是极端严格,可以优先选择HMAC算法。
- CORS性能
- 减少预检请求:对于一些频繁发起的非简单请求,可以通过优化请求方式,尽量将其转换为简单请求。例如,避免在请求头中设置不必要的非CORS安全的首部字段,使用GET或POST方法代替PUT、DELETE等方法(在业务允许的情况下),这样可以减少预检请求的次数,提高请求的效率。
- 合理设置CORS缓存:服务器可以通过设置
Access - Control - Max - Age响应头来指定预检请求的结果可以被缓存的时间(以秒为单位)。这样在缓存时间内,相同的预检请求不会再次发送到服务器,而是直接使用缓存中的结果,从而提高性能。
七、与其他技术的集成
- 与微服务架构的集成 在微服务架构中,各个微服务之间可能需要进行跨域通信,并且需要统一的身份验证机制。基于JWT的跨域资源共享解决方案可以很好地与微服务架构集成。
- 统一认证服务:可以创建一个独立的认证微服务,负责用户登录、生成JWT等操作。其他微服务在接收到跨域请求时,将JWT发送到认证微服务进行验证。认证微服务验证JWT的有效性,并返回验证结果给请求的微服务。
- 分布式缓存:为了提高JWT验证的性能,可以在微服务架构中使用分布式缓存(如Redis Cluster)。认证微服务将JWT的验证结果缓存到分布式缓存中,其他微服务在验证JWT时,首先从分布式缓存中获取验证结果,减少对认证微服务的调用次数。
- 与容器化技术的集成 随着容器化技术(如Docker和Kubernetes)的广泛应用,基于JWT的跨域资源共享解决方案也需要与容器化环境相适应。
- 容器间通信:在容器化环境中,不同容器可能运行在不同的主机上,容器间的通信可能涉及跨域问题。可以在容器内部署基于JWT的身份验证和CORS处理机制,确保容器间的安全通信。
- 配置管理:使用容器编排工具(如Kubernetes)来管理JWT密钥等敏感配置信息。可以通过Kubernetes的Secret对象来存储和管理密钥,在容器启动时将密钥注入到容器内部,确保密钥的安全性和可管理性。
八、常见问题及解决方法
- JWT验证失败
- 原因:可能是JWT格式不正确、密钥不匹配、JWT已过期等原因导致验证失败。
- 解决方法:首先检查前端发送的JWT格式是否正确,确保JWT由三部分组成且通过Base64Url编码。然后检查后端使用的密钥是否与生成JWT时使用的密钥一致。可以在JWT验证失败的回调函数中输出具体的错误信息,如
err.name和err.message,根据错误信息进行针对性的排查。如果是JWT过期问题,可以考虑在前端提示用户重新登录,或者实现自动刷新JWT的机制。
- CORS配置错误
- 原因:可能是
Access - Control - Allow - Origin设置错误,或者预检请求的处理不正确。 - 解决方法:仔细检查后端设置的
Access - Control - Allow - Origin值是否为前端的正确域名,避免使用通配符导致安全风险。对于预检请求,确保后端正确设置了Access - Control - Allow - Methods、Access - Control - Allow - Headers等响应头,允许前端请求所使用的方法和首部字段。可以使用浏览器的开发者工具,查看CORS相关的请求和响应头信息,找出配置错误的地方。
- 跨域请求被阻止
- 原因:除了CORS配置问题外,还可能是浏览器的安全策略限制,或者前端请求的方式不符合CORS规范。
- 解决方法:确认前端请求是否满足简单请求或非简单请求的规范。如果是复杂的请求,确保按照CORS规范先发起预检请求。同时,检查浏览器是否因为安全策略(如安全级别设置过高)而阻止了跨域请求。可以在不同的浏览器中进行测试,或者调整浏览器的安全设置来排查问题。
通过以上对基于JWT的跨域资源共享解决方案的详细介绍、代码示例、安全性考虑、性能优化、与其他技术的集成以及常见问题解决方法,相信开发者能够在实际项目中有效地实现安全、高效的跨域资源共享。在实际应用中,还需要根据具体的业务需求和安全要求,对方案进行进一步的优化和调整。