基于JSON Web Token的無狀態賬戶系統的設計

李凱

（西南科技大學，綿陽621000）

基于JSON Web Token的無狀態賬戶系統的設計

李凱

（西南科技大學，綿陽621000）

在Web服務中，對用戶身份的驗證和標識是不可缺少的。由于過去基于Session機制存在共享和域限制的問題，使用token成為新的選擇。使用基于JSON Web Token的機制，將用戶信息轉換為一個加密的token，保存于客戶端中，解決共享和域的限制問題，而且將服務器的內存壓力分攤到客戶端中。經實驗表明，該方案對于用戶驗證識別是行之有效的。

JSON Web Token；無狀態；賬戶系統

0　引言

在過去的賬戶體系中，一般使用Session的機制以標識用戶。但是，由于應用場景的不斷復雜化，Session機制已經不能再足以應對。主要問題有：

（1）隨著分布式技術的大量應用，當服務器處在分布式的環境下時，相互之間不能共享Session，這就導致了用戶的登錄會話不能良好的保持。

（2）RESTful的思想也正逐步被廣泛使用。但是，使用Session的機制會同RESTful的“無狀態”的原則相矛盾，引入新的“狀態”。

（3）在實際的生產中，API服務器和App服務器可能是不同的服務器。由于Cookie的域的限制，處于后端的App服務器使用儲存在前端App服務器中的Session是比較困難的。

一般使用Sticky Sessions解決Session共享的問題，但會增加服務器的壓力，而且Session的機制本身就要占用服務器大量的內存。

JWT是基于token的驗證方式，其在為用戶生成標識其身份的token，一次性把所有用戶的標識信息保存于此token中。不同于Session將信息保存于服務器內存中，而是將服務器內存的壓力分攤到客戶端中，讓客戶端保存此token。并且token獨立于服務器，從而脫離了域的限制，在網絡技術高速發展的今天，提供了一種新的驗證方式。

1　JSON Web Token

JSON Web Token下簡稱JWT，是一個基于RFC 7519的信息傳送協議，由三部分構成，Header，Payload，Signature。

Header部分用于描述JWT使用的加密的選項和其他附加選項。Payload部分會包含一些數據，這些數據是作為JWT的附加元數據。Signature是按照Header部分指明的算法，將通過Base64URL編碼的Header和Payload部分進行簽名，防止token被惡意的篡改。

2　無狀態賬戶體系的設計

2.1系統基本要求

服務器：用于處理客戶端的請求。

數據庫：用于保存用戶的數據。

緩存：用于保存頒發給用戶的授權token的密鑰。

2.2實現基本設計

首先，驗證用戶通過后，為其頒發一個其獨有的token憑證，在此憑證中包含了用戶的基本信息等數據。此后，客戶端應將此token附加在HTTP請求的頭部分，訪問服務器的其他資源，服務器即可以從其token中獲得用戶的基本信息，并做出相應的響應。

圖1　用戶數據請求

另外，從安全的角度考慮，每一個頒發的token都應有一定的時間限制，防止因token泄露導致用戶個人數據受到威脅。然而對于經常使用的用戶，反復的登錄會帶來不良的用戶體驗，此問題的解決依賴于access token和refresh token。

access token，用戶訪問憑證，用于標識用戶。其包含了用戶的基本信息，是代表某個用戶的唯一標識。其有一定的使用時間限制，在此時間限制之內可以使用任意次數。

refresh token，token刷新憑證，用于access token的更新。一個refresh token對應一個access token，其生存時間長于access token，但是只能使用一次。

當用戶登錄時，先為此用戶生成一個隨機的密鑰，再使用這個密鑰為其分配一個access token和refresh token，并保存密鑰到緩存之中，便于此后的token的解密。當access token將要過期時，客戶端即可以通過refresh token重新獲得一個新的access token和refresh token，這樣就延長了access token的過期時間，同時，原有的token都不再合法，此后的數據交互則替換原有的，將新頒發的access token附加在請求上。而且，如果保持一定的token刷新頻率，由于舊的token會很快地過期，提高了系統的安全性。

2.3處理流程描述

（1）用戶登錄

圖2　用戶登錄

如圖2所示，服務器在收到用戶的憑證，如用戶名和密碼之后，先對其進行身份驗證，若通過了驗證，則依照JWT協議為其頒發access token和refresh token，并保存access token、密鑰鍵值對到緩存中，便于后面的解密。若沒有通過身份驗證，則不為其頒發token。

（2）Token的刷新

如圖3為token刷新的流程圖。驗證accessToken和refreshToken的合法性的key可以從緩存中通過accessToken獲得。驗證通過后，清除舊的key并為其頒發新的token，保存新的key。若未通過驗證，則拒絕為其頒發新的token，要求重新登錄，獲得授權。

（3）用戶登出

如圖4為用戶請求登出的流程圖。其在驗證accessToken合法之后，即可展開對用戶數據的后續的清理工作。

3　實驗驗證

對上面的設計進行了實際的編碼，并對其對了相應的驗證。事實證明，上述的設計是實際可行的。由于實際的token有一定的長度，故在表1中，對accessToken和refreshToken進行了簡寫。

圖4　用戶登出

表1　實驗驗證步驟和結果

4　結語

本文著重介紹了基于JWT協議的賬戶體系的整體設計，其解決了Session機制下面所存在的問題，降低了開發網絡服務系統的復雜性和成本。本文是對于利用JWT協議構建賬戶體系的探索，為Web服務的開發提供參考。

[1]Bradley J,Sakimura N,Jones M.JSON Web Token（JWT）[J]，2015.

[2]Jones M B.The Emerging JSON-Based Identity Protocol Suite[C]//W3C Workshop on Identity in the Browser.2011:1-3.

[3]Zheng K,Jiang W.A Token Authentication Solution for Hadoop Based on Kerberos Pre-Authentication[C].Data Science and Advanced Analytics（DSAA）,2014 International Conference on.IEEE,2014:354-360.

[4]Peng D,Li C,Huo H.An Extended Username Token-based Approach for REST-style Web Service Security Authentication[C].Computer Science and Information Technology,2009.ICCSIT 2009.2nd IEEE International Conference on.IEEE,2009:582-586.

Design of Stateless Account System Based on JSON Web Token

LI Kai
（Southwest University of Science and Technology，Mianyang621000）

Authentication and identification of users'identity is indispensable in the Web service.Token has become a new choice because of the problems of sharing and domain constraint based on Session mechanism in the past.Uses the mechanism based on JSON web token,the users'information will be transformed into an encrypted token and stored in the client.This mechanism not only solves the problem of sharing and domain constraint,but also allocates the memory pressure to the client.The experiments show that this scheme is effective for users'authentication and identification.

JSON Web Token;Statelessness;Account System

1007-1423（2016）16-0000-04DOI：10.3969/j.issn.1007-1423.2016.16.017

李凱（1995-），男，四川自貢人，在讀本科，研究方向為移動互聯網技術

2016-03-31

2016-05-21