什么是JWT

1、簡(jiǎn)介：

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)((RFC 7519).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄(SSO)場(chǎng)景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

2、使用場(chǎng)景：

(1) 權(quán)限認(rèn)證：這是JWT使用最常見的地方，用戶一旦登錄，就會(huì)獲得一個(gè)JWT，這個(gè)JWT使得用戶有權(quán)限訪問

后續(xù)的路徑或者服務(wù)。由于其容量小和易于跨域的特點(diǎn)，因此JWT廣泛應(yīng)用在分布式單點(diǎn)登錄中。

(2) 信息交換：JWT是不同服務(wù)之間信息交換和好的一種方式。因?yàn)樗梢允褂面I值對(duì)來標(biāo)記，所以接收方

可以確定發(fā)送方的身份。此外，JWT的signature的通過head和payload計(jì)算出來的，所以可以保證傳遞的信息

內(nèi)容不會(huì)被篡改。

3、JWT的結(jié)構(gòu)

JWT有三部分組成，這三部分含義分別是header，payload, signature

Header

頭部包含了兩個(gè)方面：類型和使用的哈希算法(如HMAC SHA256)：

對(duì)這個(gè)JSON字符進(jìn)行base64encode編碼，我們就有了首個(gè)JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

JWT的第二部分是payload，也稱為 JWT Claims，這里放置的是我們需要傳輸?shù)男畔?，有多個(gè)項(xiàng)目如

注冊(cè)的claim名稱，公共claim名稱和私有claim名稱。

注冊(cè)claim名稱有下面幾個(gè)部分：

iss: token的發(fā)行者sub: token的題目aud: token的客戶exp: 經(jīng)常使用的，以數(shù)字時(shí)間定義失效期，也就是當(dāng)前時(shí)間以后的某個(gè)時(shí)間本token失效。nbf: 定義在此時(shí)間之前，JWT不會(huì)接受處理。iat: JWT發(fā)布時(shí)間，能用于決定JWT年齡jti: JWT唯一標(biāo)識(shí). 能用于防止 JWT重復(fù)使用，一次只用一個(gè)token

公共claim名稱用于定義我們自己創(chuàng)造的信息，比如用戶信息和其他重要信息。

私有claim名稱用于發(fā)布者和消費(fèi)者都同意以私有的方式使用claim名稱。

下面是JWT的一個(gè)案例：

{ "iss": "scotch.io", "exp": 1300819380, "name": "Chris Sevilleja", "admin": true }

簽名

JWT第三部分最后是簽名，簽名由以下組件組成：

headerpayload密鑰

下面是我們?nèi)绾蔚玫絁WT的第三部分：

這里的secret是被服務(wù)器簽名，我們服務(wù)器能夠驗(yàn)證存在的token并簽名新的token。

4、JWT是如何工作的

當(dāng)用戶登錄成功之后，服務(wù)端會(huì)生成一個(gè)JWT并且返回給瀏覽器(放在響應(yīng)頭中)，這種方法代替了傳統(tǒng)的

在服務(wù)端創(chuàng)建一個(gè)session然后返回瀏覽器cookie的方法。