jwt学习
基于token的鉴权机制也是无状态的(类似于http协议),不需要保在服务端保留用户的认证或会话信息。
构成
jwt由三部分构成:头部、payload、签名,中间用.隔开
头部(header)
包含两部分信息:声明类型、声明加密的算法
例如:
{
“alg”: “HS256”,
“typ”: “JWT”
}
然后将头部进行base64加密,构成了jwt的第一部分
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
如果可以将alg字段设成None,那么jwt的第三部分会被置空,这样任何token都是有效的,即造成任意用户访问
payload
存放数据有效信息的地方,包含三部分:标准中注册的声明、公共的声明、私有的声明
标准中注册的声明:
● iss: jwt签发者
● sub: jwt所面向的用户
● aud: 接收jwt的一方
● exp: jwt的过期时间,这个过期时间必须要大于签发时间
● nbf: 定义在什么时间之前,该jwt都是不可用的.
● iat: jwt的签发时间
● jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
公共的声明 :
可以添加任何信息,一般添加用户的相关信息或其他业务需要的必要信息
私有的声明:
是提供者和消费者所共同定义的声明
例如:
{
“exp”: 1746333666,
“iat”: 1745728866,
“iss”: “xp”,
“nbf”: 1745728866,
“user_id”: 1,
“account”: “a61ca41d”,
“temp”: false
}
进行base64加密得到jwt第二部分:
eyJleHAiOjE3NDYzMzM2NjYsImlhdCI6MTc0NTcyODg2NiwiaXNzIjoieHAiLCJuYmYiOjE3NDU3Mjg4NjYsInVzZXJfaWQiOjEsImFjY291bnQiOiJhNjFjYTQxZCIsInRlbXAiOmZhbHNlfQ
签名
这个签名由三部分组成:header(base64之后)、payload(base64之后)、scecret_key
secret_key是保存在服务端的,jwt的签发也发生在服务端,secret_key就是用来进行jwt的签发和验证。
jwt认证
客户端接收服务器端返回的jwt,并存储在cookie或localStorage中,接下来的交互都会带有jwt
jwt一般是在请求头中加入Authorization,并加上Bearer标注。例如:
fetch(‘api/user/1’, {
headers: {
‘Authorization’: 'Bearer ’ + token
}
})