iT邦幫忙

2021 iThome 鐵人賽
DAY 9
0
自我挑戰組

Ruby on Rails 與它們相關的東西 II系列 第 9

Day09 - Gem-jwt 介紹與應用

13th鐵人賽 ruby on rails
2113 瀏覽

  • 分享至 

  • xImage
    •  

前言

JWT 是 JSON Web Token 的縮寫。在寫此篇時,發現已經有許多相關文章可參考,故本篇以實作為主,若想知道更深入部分,可直接看參考資料

JWT組成

HeaderPayloadSignature 所組成的字串,中間以 . 做間隔

# 寫成一行的話,組成如下
Header.Payload.Signature

# 實際範例如下 (中間以 . 做間隔)
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
組成 說明
Header 通常由演算法簽章、 Token 類型所組成的 JSON,再做 Base64 URL 編碼
Payload 需傳遞的資料放這
Signature Header、Payload、密鑰 (secret) 透過雜湊演算法所產生

最終資料呈現如下方圖左,是一個字串

動手做看看

官方 JWT 首頁已有範例,這邊以 Ruby 做演練

# 在 irb 中操作

require "json"
require "base64"
require "openssl"

header = { "alg" => "HS256", "typ" => "JWT" }
header_json = header.to_json # or JSON(header)
encoded_header = Base64.urlsafe_encode64(header_json, padding: false) # Base64 編碼 header


payload = { "sub" => "1234567890", "name" => "John Doe", "iat" => 1516239022 }
payload_json = payload.to_json # or JSON(payload)
encoded_payload = Base64.urlsafe_encode64(payload_json, padding: false) # Base64 編碼 payload


secret_key = "your-256-bit-secret"
data = "#{encoded_header}.#{encoded_payload}"
digest = OpenSSL::Digest::SHA256.new # 使用 SHA256 演算法
signature = OpenSSL::HMAC.digest(digest, secret_key, data) # 透過 HMAC 演算法簽章
encoded_signature = Base64.urlsafe_encode64(signature, padding: false) # Base64 編碼 signature


token = "#{encoded_header}.#{encoded_payload}.#{encoded_signature}"

# 驗證,與 JWT 首頁範例一樣
token == "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c"

使用 RubyGems

上述為手動實作,透過實作能更清楚如何運作
也可直接使用 jwt gem 來處理,一切變得簡單多了,有興趣可看下 source code 部分

# 使用 ruby-jwt gem 實作

hmac_secret = "your-256-bit-secret"
payload = { "sub" => "1234567890", "name" => "John Doe", "iat" => 1516239022 }

token = JWT.encode payload, hmac_secret, "HS256"

decoded_token = JWT.decode token, hmac_secret, true, { algorithm: "HS256" }
# # Array (payload + header)
# [
#   {
#     "sub" => "1234567890",
#     "name" => "John Doe",
#     "iat" => 1516239022
#   },
#   {
#     "alg" => "HS256"
#   }
# ]

小結

JWT 的特色有「JSON 通用性的關係,可跨語言使用」、「構造簡單,size 小,便於傳輸」...等

在使用 JWT 時,不建議把敏感資料放裡面,只要解碼 Base64 便能看到原本的資料

推薦下面參考資料可以都看過一輪

參考資料

  1. https://jwt.io/
  2. JSON Web Token Wiki
  3. ruuby-jwt
  4. 是誰在敲打我窗?什麼是 JWT ?
  5. 見令如見人,介紹 JWT
  6. [筆記] 透過 JWT 實作驗證機制
  7. JSON Web Token 入门教程
  8. JSON Web Token(JWT) 簡單介紹

鐵人賽文章連結:https://ithelp.ithome.com.tw/articles/10264580
medium 文章連結:https://link.medium.com/OYkJftn2Mjb
本文同步發布於 小菜的 Blog https://riverye.com/

備註:之後文章修改更新,以個人部落格為主


上一篇
Day08 - Gem-sidekiq-grouping 允許單個 sidekiq 處理多個相似(一樣)的 jobs
下一篇
Day10 - 如何用手機連 Ruby on Rails Local 開發中的專案
系列文
Ruby on Rails 與它們相關的東西 II30
  1. 26
    Day26 - 用 Ruby on Rails 寫分析股票的技術指標
  2. 27
    Day27 - 如何讓 Google 搜尋到你的網站
  3. 28
    Day28 - 如何埋 GA (Google Analytics)
  4. 29
    Day29 - 透過 PageSpeed Insights 了解網站速度優化
  5. 30
    Day30 - 終於完賽的心得感言
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22199
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙