做微信扫码网站appstore下载安卓版

1、什么是JWT？

      JWT（JSON Web Token，JSON Web令牌）是一种开放标准（RFC 7519），用于在网络应

     用环境间安全地传递声明（claims）作为JSON对象；JWT会按指定的加密算法将该JSON对

     象加密成一个字符串。

     例如，服务器可以生成具有声明 “以管理员身份登录”（一般在 claims 中声明） 的令牌，并将

     其提供给客户端，客户端可以使用该令牌来证明客户是以管理员身份登录的。令牌由服务器的

     密钥签名，因此服务器能够验证令牌是否合法。

      通俗的来讲，JWT就是一个用于加密或解密且不允许修改的字符串的字符串。

2、JWT的结构

     JWT是一种紧凑的、URL安全的表示方式，用于在两方之间传输信息。它由三部分组成：

            JWT格式：Header.Payload.Signature

     1）Header（标头）

          Header 主要包含JWT令牌类型和用于生成签名的加密算法，Header示例如下所示：

{"alg":"HS256","type":"JWT"
}

                HS256 表示当前令牌使用 HMAC-HSA256 算法进行签名

     2）Payload（有效负载）

          Payload 主要包含声明（claims），即要传输的数据；是关于实体（通常是用户）和

          其他数据的描述。有三种类型的声明：

                  I）注册声明：预定义声明，如iss, exp, sub, aud等

                  II）公开声明

                  III）私有声明

                  示例如下所示：

{"sub": "1234567890","name": "John Doe","admin": true,"iat": 1516239022
}

     3）Signature（签名）

          Signature 是将通过将编码后的header、编码后的payload、一个密钥和header中指定的

          算法生成签名；用于验证消息在传输过程中没有被篡改。

          签名的计算方式是：先使用base64url 对 标头Header 和 有效负载Payload 进行编码，

                                           并将编码结果以英文句号（.）拼接起来，最后通过标头Header中的

                                           加密算法对密钥key和拼接结果进行加密生成签名Signature，

                                           如下所示：

//密钥
key = "secretKey"
//通过base64url对标头Header 和 有效负载Payload 进行编码，并以“.” 进行连接
unsignedToken = EncodeBase64(Header) + "." + EncodeBase64(Payload)
//生成签名key
signature = HMAC-HSA256(key,unsignedToken)

      最后将Header 、Payload  和Signature 以英文句号（.）拼接在一起就是JWT。

      为了将他们拼接在一起，我们将签名Signature也以base64url 进行编码，如下所示：

//生成JWTtoken = EncodeBase64(Header) + "." + EncodeBase64(Payload) + "." + EncodeBase64(signature)

3、JWT工作流程  

      JWT工作流程如下图所示：

3.1、客户端登录与JWT令牌获取

         用户通过“用户名/密码” 的方法向认证服务器发送登录认证请求；服务器验证用户身份，若

        验证通过，则生成JWT，并将生成的JWT返回给客户端

3.2、客户端携带JWT令牌访问资源

         客户端将 JWT 存储在本地（如 localStorage、sessionStorage 或内存）

         客户端在后续请求通过 HTTP 头部（如 Authorization: Bearer <JWT>）携带 JWT令牌

3.3、服务器验证JWT并处理后续请求

         服务端从请求头中提取JWT令牌，并使用预共享的密钥或公钥验证签名是否有效，确保

        JWT令牌未被篡改；JWT令牌校验通过则处理请求并返回处理结果，否则直接返回错误信息

3.4、令牌刷新

         在实际工作中，一般给JWT设置较短的过期时间，当客户端jwt令牌过期后，执行 

         Refresh Token 向服务端请求新的JWT，即：短期JWT令牌 + 长期刷新JWT

4、JWT优点

      相对于传统的Session，JWT有如下优点：

      1）无状态，服务端不需要存储Session会话信息，降低服务端压力

      2）支持跨域，适用于分布式系统和单点登录

      3）灵活性好，JWT中可以包含用户自定义的数据（有效负载）

      4）安全性好，JWT使用签名加密的方式，不允许被修改。

5、JWT使用场景

     1）身份验证和授权

     2）信息交换，可以包含自定义数据

     3）分布式系统和单点登录

6、JWT使用时需要注意的点

     1）不要将敏感信息放入JWT

     2）最好使用HTTPS请求来传输JWT，更安全

     3）JWT使用时需要设置合理的过期时间

     4）使用强密钥