Json Web Token

JWT符合[RFC 7519]规范，它的优点在于可以取代Session和Cookie验证的方式。属于Token-Based的范畴。

1. JWT的三段組成解析

header（头部）.payload（载荷）.signature（签名）

注：三个部分之间用英文句号.来分隔。

1.2 header

{
    "typ": "JWT", #类型，代表是一个JWT字符串
    "alg": "HS256"  #加密算法
}

编码后：

ewogICAgInR5cCI6ICJKV1QiLAogICAgImFsZyI6ICJIUzI1NiIKfQ==

通常Header只须要这两个字段便可。

1.2_payload(关键的自带信息)_

{
    "user_id":pzdn2009, #用戶Id,
    "name":"pzdn", #名称
    "exp":1556999524 #token過期時間
}

编码后：

ewogICAgInVzZXJfaWQiOnB6ZG4yMDA5LCAKICAgICJuYW1lIjoicHpkbiIsIAogICAgImV4cCI6MTU1Njk5OTUyNCAKfQ==

payload用来承载要传递的数据，它的json结构其实是对JWT要传递的数据的一组声明，这些声明被JWT标准称为claims，它的一个“属性值对”其实就是一个claim，每个claim的都表明特定的含义和做用。

1.3_signature_

计算signature：

HMACSHA256(base64(header)+"."+base64(payload),secret="mypasswordsdfasdfsddfjjcud")

最终header.payload.signature连成一串，就是JWT。

1.4 说明

• nbf 定义在什么时间以前，该jwt都是不可用的.
• exp 过时时间
• iss issuer 签发者
• aud audience 听众，能够是scope，或者/resoures，表示接收jwt的一方
• sub subject 主题，jwt所面向的用户
• jti jwt的惟一身份标识，主要用来做为一次性token,从而回避重放攻击。
• iat jwt的签发时间

2. token应用流程？

• Login：用户初次登陆，输入用户名密码
• 密码验证：服务器从数据库取出用户名和密码进行验证
• 生成JWT：服务器端验证经过，根据从数据库返回的信息，以及预设规则，生成JWT
• 返还JWT：服务器的HTTP RESPONSE中将JWT返还
• 带JWT的请求：之后客户端发起请求，HTTP REQUEST HEADER的Authorizatio字段带上JWT，或者URL后面带上JWT

3. .NET 库

官方：https://jwt.io/#libraries-io

4 .参考文献

[基于Token的身份验证——JWT]http://www.cnblogs.com/zjutzz/p/5790180.html
[~3种web会话管理的方式]http://www.cnblogs.com/lyzg/p/6067766.html#_label2