API密钥与JWT授权对比编纂者

=> 'Jimmie',

'lastname' => 'Barninger',

'city' => 'New York',

'objectID' => 'myID'

]

);

运运用于 JWT 方将

JWT方将是一大串不宜读的字符，其前举例来说的电子邮件已隐秘和解码，被收据或公钥覆盖。它由三部分组成：尾部(header)、融为一体(body)和收据(signature)，

由句点隔开：Header.Body.Signature。

解码

EZPZAAdsqfqfzeezarEUARLEA.sqfdqsTIYfddhtreujhgGSFJ.fkdlsqEgfdsgkerGAFSLEvdslmgIegeVDEzefsqd

EZPZAADSQFZEEZAREUARLEA是JWT头，其前举例来说表列出电子邮件：

解码

{

"alg": "HS256",

"typ": "JWT"

}

{

"sub": "1234567890",

"name": "John Doe",

"iat": 1516239022

}

我们有不同的算法可用，例如 RS256 和 HS256。 这里我们运运用于 HS256算法，它必均需在分解收据时运运用于副本，RS256则运运用于副本和公钥复合。

sqfdqsTIYfddhtreujhgGSFJ是 JWT 融为一体(称为有效性阻抗)，其前举例来说普通用户的身份，以试图制定方将普通用户的投票权。 它还构建作废迟于(越短越安全及)等其他电子邮件。

解码

{

"sub": "1234567890",

"name": "John Doe",

"iat": 1516239022

}

fkdlsqEgfdsgkerGAFSLEvdslmgIegeVDEzefsqd是JWT收据 ，它如尾部右图，通过运运用于 HS256 散列方法有复合尾部、融为一体和构建副本复合分解。

解码

HMACSHA256(

UrlEncode(header) + "." +

UrlEncode(payload),

secret)

这样你就得到了反之亦然的方将：Header.Body.Signature：

解码

EZPZAAdsqfqfzeezarEUARLEA.sqfdqsTIYfddhtreujhgGSFJ.fkdlsqEgfdsgkerGAFSLEvdslmgIegeVDEzefsqd

关于数字收据(Authentication)和专利权(Authorization)

API校验和JWT都运用于数字收据和专利权，但形式极为相同。

数字收据(Authentication)极为均需要普通用户或插件运运用于API的一种或多种方法有。 专利权(Authorization)则按规定了普通用户或插件如何运运用于这些方法有。一些插件或普通用户必需存储图表，一些可以更为新，一些则是管理者员(配角和管辖权)。API校验也是如此，由它们的ACL管理者，它们可以是载入、写时会面或管理者。

展开数字收据和专利权时，API校验运运用于不尽相同的API校验，JWT专利权则必均需在分解专利权方将前展开初始数字收据。

一旦分解了方将，它就可以在整个生态子系统前运运用于，以明确方将持有者能做什么和不可做什么。

此外，API校验的测试的是插件而不是普通用户;而JWT同时对普通用户和插件展开数字收据。当然，你可以运运用于API校验展开普通用户级专利权，但它的结构设计极为完善——生态子系统必均需为每个普通用户或时会话id分解和管理者API校验，这对子系统来说是不合理的负担。

确保和安全及提升

在安全及方面，API校验和JWT都难以受到攻击。最出色的安全及措施是为所有侧到侧通信全面实施安全及虚拟化。

不过，因为它们必均需被隐秘，API校验在历史上不想像中安全及。

你可以运运用于SSL/TLS/HTTPS隐秘校验，或者将校验的运运用于放宽在后侧进程。但是，你不可操纵所有API的运运用于，且API校验也则时会漏出，同时HTTPS也极为显然可行建议等等。

在JWT前，由于方将是散列/解密的，因此它兼具更为安全及的方法有，不大意味著被引起争议。

JWT方将前举例来说哪些电子邮件?

API校验和JWT方将之间最显著的区别在于，JWT方将是自举例来说的：它们举例来说API确保交易和明确方将持有人投票权一般来说所均需的电子邮件。

同样，API校验运运用于其唯一性来获取初始时会面;但是，API必均需在前央表前找到与校验关连的ACL，以准确明确校验极为均需要时会面的章节。

一般来说，API校验只保障插件架构的安全及，为每个普通用户构建不尽相同的时会面管辖权;而JWT方将构建普通用户级时会面。

JWT方将可以举例来说作废迟于和普通用户上标符等电子邮件，以明确普通用户在整个生态子系统前的管辖权。

让我们看一下JWT方将前可以举例来说的一些电子邮件：

iss(颁赠者)：上标释出 JWT 的融为一体。 sub(趣味)：上标作为 JWT 趣味的融为一体， 必须是唯一的。 aud(受众)：上标 JWT 的最大限度接收者(字符串图表类型/uri)。 exp(作废时长)：上标作废时长(UTC Unix)，在此之后你必须不再给予此方将。 它应当在释出时长之后。 nbf(not before)：上标不可给予 JWT 的 UTC Unix 时长 iat(释出时长)：上标释出 JWT 的 UTC Unix 时长。 jti(JWT ID)：为 JWT 构建唯一上标符。

举例：

解码

{

"iss": "stackoverflow",

"sub": "joe",

"aud": ["all"],

"iat": 1300819370,

"exp": 1300819380,

"jti": "3F2504E0-4F89-11D3-9A0C-0305E82C3301",

"context":

{

"user":

{

"key": "joe",

"displayName": "Joe Smith"

},

"roles":["admin","finaluser"]

}

}

JWT专利权兼具灵活性、可靠性和更为高的安全及性

下面是一个运运用于场面：

你有多种插件，这些程序意味著： 极为均需要我们跟踪所有普通用户API运运用于情形; 极为均需要时会面账单和投资者图表; 极为均需要API普通用户更为改在不同子系统上设置; 查找运品图表或业务章节等。 运运用于API校验转换

若有很多的API在直通时，就时会显现疑问。这些时会面所均需的 100 多个 API 校验要打印在哪里呢?管理者但时会的API校验必均需为生态子系统前直通的所有插件构建一个API校验表。

因此，生态子系统前的每个插件都必须了解图表库系统，都必均需连接起来并存储该校验表。此外，一些插件将被极为均需要分解新校验或修改现有校验。

所有这些都是不太好的形式，但能够保护。管理者这疑问的一种方法有是创建者一个API，API根据该图表库系统来的测试校验。但为此你必均需第二个数字收据子系统来连接起来到这个API。

不仅查找API校验很繁杂，保护其持续时长和专利权高级别也是草率的每一次，而且极为是每个插件都在插件高级别直通，它们必均需普通用户高级别的管辖权。

此外，API的运运用于形式因子系统而异。更为糟糕的是，不同的插件构建API校验，因此要依赖性不同的插件来保护对构建API校验的无论如何时会面高级别。

切换到JWT

任何必均需数字收据的API都可以轻松切换到JWT的专利权。通过JWT专利权，你可以获取基于普通用户的数字收据。一旦普通用户通过数字收据，普通用户就时会获取一个可以在所有子系统上运运用于的安全及方将。

普通用户(以及方将)采用集前形式的管理者。你设置时会面管辖权，并为每个子系统彰显每个普通用户不同的管辖权。JWT专利权侧点对普通用户展开数字收据并创建者方将。

运运用于这种虚拟化，下一步就是在整个生态子系统前创建者一个单点的登记，并只依赖性方将来获取管辖权。

最后，最更为简单、最强而有力、最易管理者的方法有是创建者一个专门运用于数字收据和专利权的单一侧点，这样整个生态子系统前的所有其他服务项目器都可以依赖性该前心点来专利权投资者侧和服务项目器之间的API交互。

总之，有时JWT是显然合理的，有时则是“过犹不及”

作为一名插件开发新人员，我在构建API时主要关心它们是否得到了无论如何的运运用于，并构建了无论如何的图表和功能。

因此，我在很大往往上遵行DevOps的想法来推荐最佳和最易管理者的安全及措施。

但是，除了安全及基本上还有其他疑问必均需关注。在一个大型的生态子系统前，我们必均需一种更为简单而强而有力的形式来跨多个子系统和服务项目器时会面扰服务项目，而这最出色通过集前数字收据和专利权每一次来解决问题。

在表列出两种但时会，选用JWT显得有些“过犹不及”：

一个只有几个API的更为简单生态子系统。 第三方API的提供商。

第三方API一般不易运运用于和短时间解决问题，复刻时只必均需很少的前期工作。

此外，你必均需构建运用于收据方将的校验。所以最出色操纵两侧，而这在第三方场面前是不意味著的，并且你还必均需信任解决问题。例如，API可以选择显然作废迟于或有效性是从迟于(“not before”)。

不过，JWT 在表列出情形就很有合理了：

当多个服务项目必均需在一个庞大的的网络上两者之间通信时，你必均需运运用于JWT。 当不仅仅是插件，而是每个的网络或插件都必均需基于普通用户的不同时会面高级别时，集前和确保这些交易所至关重要。 操纵每秒钟并能够对的网络呼叫展开优先级排序也很关键。在添加最初或修改现有服务项目时最出色能获取更为简单的即插即用体验。

译文介绍

张增斌，51CTO社区编辑，多年的安全及战术从业经验，主要图表分析方向：安全及开发新、逆向破解、漏洞开挖、黑灰运战术结盟。目前主要为生游戏安全及的图表分析。本人独立自主运营《小道安全及》政府部门号。

书名标题：How API Keys Compare to JWT Authorization: A Detailed Overview，著者：Algolia

。

池州哪家白癜风医院好
国内哪个医院治肾癌好
角膜炎怎么治疗好的快
肺癌有哪些症状
复方鳖甲软肝片能软肝吗