JWT on ZiYang FrontEnd Interviewhttps://fe-interview.pangcy.cn/tags/jwt/Recent content in JWT on ZiYang FrontEnd InterviewHugoen-usThu, 06 Mar 2025 13:07:39 +0800JWT认证机制实现原理https://fe-interview.pangcy.cn/docs/network/network-28/Tue, 04 Mar 2025 09:31:00 +0000https://fe-interview.pangcy.cn/docs/network/network-28/<h2 id="考察点分析">考察点分析 <a href="#%e8%80%83%e5%af%9f%e7%82%b9%e5%88%86%e6%9e%90" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h2><p>该题目主要考察以下核心能力维度:</p> <ol> <li><strong>安全机制理解</strong>:JWT的安全实现原理及防篡改机制</li> <li><strong>密码学应用能力</strong>:对称加密(HMAC)与非对称加密(RSA)在签名中的差异</li> <li><strong>系统设计思维</strong>:短期Token与Refresh Token组合方案的设计权衡</li> </ol> <p>具体技术评估点:</p> <ul> <li>JWT三段式结构编码规范</li> <li>数字签名对报文完整性的保障机制</li> <li>不同签名算法的密钥管理策略</li> <li>无状态认证场景下的会话安全控制</li> <li>Token时效性与用户体验的平衡</li> </ul> <hr> <h2 id="技术解析">技术解析 <a href="#%e6%8a%80%e6%9c%af%e8%a7%a3%e6%9e%90" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h2><h3 id="关键知识点">关键知识点 <a href="#%e5%85%b3%e9%94%ae%e7%9f%a5%e8%af%86%e7%82%b9" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h3><p>JWT结构 &gt; 数字签名算法 &gt; Token时效策略</p> <h3 id="原理剖析">原理剖析 <a href="#%e5%8e%9f%e7%90%86%e5%89%96%e6%9e%90" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h3><p>JWT采用Base64URL编码的JSON结构,包含:</p> <ol> <li><strong>Header</strong>:声明算法类型(alg)和令牌类型(typ)</li> </ol> <div class="prism-codeblock "> <pre id="4ea4fda" class="language-javascript "> <code>// Header示例 { &#34;alg&#34;: &#34;HS256&#34;, &#34;typ&#34;: &#34;JWT&#34; }</code> </pre> </div> <ol start="2"> <li><strong>Payload</strong>:携带业务数据(claims)如用户ID、过期时间(exp)</li> <li><strong>Signature</strong>:对前两部分的签名,通过HMAC或RSA算法确保数据完整性</li> </ol> <p>签名生成逻辑:</p> <div class="prism-codeblock "> <pre id="dae4b75" class="language- "> <code>HMAC_SHA256(base64(header) &#43; &#34;.&#34; &#43; base64(payload), secret)</code> </pre> </div> <p>验证时服务端重新计算签名,与令牌中的签名比对。任何对Header/Payload的修改都会导致签名不匹配。</p> <p><strong>密钥差异</strong>:</p> <ul> <li>HMAC:对称加密,服务端存储密钥,计算效率高</li> <li>RSA:非对称加密,私钥签名公钥验签,适合微服务架构</li> </ul> <h3 id="常见误区">常见误区 <a href="#%e5%b8%b8%e8%a7%81%e8%af%af%e5%8c%ba" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h3><ul> <li>误将敏感数据存放在未加密的Payload中</li> <li>混淆JWT加密(JWE)与签名(JWS)的区别</li> <li>认为Refresh Token不需要服务端存储(实际需要持久化存储)</li> </ul> <hr> <h2 id="问题解答">问题解答 <a href="#%e9%97%ae%e9%a2%98%e8%a7%a3%e7%ad%94" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h2><p>JWT通过三段式结构实现无状态认证。Header声明算法,Payload携带业务数据,Signature通过HMAC或RSA确保数据完整性。以HMAC为例,服务端用密钥生成签名,任何对令牌的篡改都会导致签名验证失败。RSA方案通过私钥签名公钥验证,更适合多系统协作场景。</p> <p>短期Access Token(如15分钟)降低泄露风险,配合长期Refresh Token(如7天)实现平滑续期。Refresh Token需持久化存储并严格保护,当Access Token过期时,用户凭Refresh Token获取新Access Token。这种设计在保持无状态优势的同时,兼顾安全性与用户体验。</p> <hr> <h2 id="解决方案">解决方案 <a href="#%e8%a7%a3%e5%86%b3%e6%96%b9%e6%a1%88" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h2><h3 id="编码示例">编码示例 <a href="#%e7%bc%96%e7%a0%81%e7%a4%ba%e4%be%8b" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h3> <div class="prism-codeblock "> <pre id="6d3f7cb" class="language-javascript "> <code>// 生成JWT const crypto = require(&#39;crypto&#39;); function sign(payload, secret) { const header = Buffer.from(JSON.stringify({ alg: &#39;HS256&#39;, typ: &#39;JWT&#39; })).toString(&#39;base64url&#39;); const payloadEncoded = Buffer.from(JSON.stringify(payload)).toString(&#39;base64url&#39;); const signature = crypto.createHmac(&#39;sha256&#39;, secret) .update(`${header}.${payloadEncoded}`) .digest(&#39;base64url&#39;); return `${header}.${payloadEncoded}.${signature}`; } // 验证示例 function verify(token, secret) { const [headerB64, payloadB64, signature] = token.split(&#39;.&#39;); const expectedSig = crypto.createHmac(&#39;sha256&#39;, secret) .update(`${headerB64}.${payloadB64}`) .digest(&#39;base64url&#39;); return crypto.timingSafeEqual( Buffer.from(signature), Buffer.from(expectedSig) ); }</code> </pre> </div> <h3 id="可扩展性建议">可扩展性建议 <a href="#%e5%8f%af%e6%89%a9%e5%b1%95%e6%80%a7%e5%bb%ba%e8%ae%ae" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h3><ul> <li>密钥轮转:HMAC场景使用密钥版本号,RSA场景定期更换密钥对</li> <li>分布式验证:通过JWKS端点发布公钥,适用于微服务架构</li> <li>性能优化:签名验证耗时较高时,采用本地缓存验证结果</li> </ul> <hr> <h2 id="深度追问">深度追问 <a href="#%e6%b7%b1%e5%ba%a6%e8%bf%bd%e9%97%ae" class="anchor" aria-hidden="true"><i class="material-icons align-middle">link</i></a></h2><ol> <li> <p><strong>如何防范JWT重放攻击?</strong></p>