JWT

JWT 的原理

服务器认证后，发送一个JSON对象给用户。以后用户与服务器通讯的时候，都要发回这个JSON对象。同时，为了防止用户篡改数据，服务器生成这个数据的时候，会加上签名。

JWT 的数据结构

它是一个很长的字符串，中间用点（.）分隔成三个部分。

三个部分一次以下：

• Header（头部）
• Payload（负载）
• Signature（签名）

Header

JSON对象，描述 JWT 的元数据

{
  "alg": "HS256",
  "typ": "JWT"
}

alg表示签名的算法，默认是 HMAC SHA256（写成 HS256）

typ表示令牌的token类型，JWT令牌统一写为JWT

最后使用Base64URL 算法将他转换成字符串

Payload

JSON对象，用来存放实际须要传递的数据。

7个官方字段：

• iss (issuer)：签发人
• exp (expiration time)：过时时间
• sub (subject)：主题
• aud (audience)：受众
• nbf (Not Before)：生效时间
• iat (Issued At)：签发时间
• jti (JWT ID)：编号

也能够定义私有字段，但不能存放私密字段，除非是加密的

最后使用Base64URL 算法将他转换成字符串

Signature

对前两部分的签名，防止数据篡改

首先，指定一个只有服务器才知道的密钥secret，以后使用header中的签名算法使用以下方式产生签名，默认（HMAC SHA256）

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

最后将以上三部分字符串拼接，拼接处用.分隔

Base64URL

相似于Base64，可是有些小的不一样。

JWT令牌可能会放在URL中，Base64 有三个字符+、/和=，在 URL 里面有特殊含义，因此要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

JWT 的使用方式

（1）放在客户端的cookie或localStroage中，放在cookie中每次请求都会自动发送，可是不能跨域

（2）放在请求头信息Authorization字段里面

（3）放在post请求体中

JWT 的几个特色

（1）JWT默认时不加密的，但也是能够加密的。生成原始 Token 之后，能够用密钥再加密一次。不加密的状况下，不能将秘密数据写入JWT

（2）JWT不只能够用于认证，也能够用于交换信息

（3）为减小盗用，JWT不该该用HTTP明码传输，而使用HTTPS，对于比较重要的权限，应该进行二次验证

（4）JWT的缺点，因为保存在客户端，所以服务端在token到期以前是不可控的，尽可能减短token的过时时间