draft:
http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html
http://tools.ietf.org/html/draft-jones-json-web-token-10
JWT全称JSON Web Token[http://www.jwt.io/],用于发送可通过数字签名和认证的东西,它包含一个紧凑的,URL安全的JSON对象,服务端可通过解析该值来验证是否有操作权限,是否过期等安全性检查。由于其紧凑的特点,可放在url中或者 HTTP Authorization头中,它是一种用于认证头部的 token 格式。这个 token 帮你实现了在两个系统之间以一种安全的方式传递信息。
一个jwt包含了三部分:header,payload,signature。
-
header 是 token 的一部分,用来存放 token 的类型和编码方式,通常是使用 base-64 编码。
- payload 包含了信息。你可以存放任一种信息,比如用户信息,产品信息等。它们都是使用 base-64 编码方式进行存储。
- signature 包括了 header,payload 和密钥的混合体。密钥必须安全地保存储在服务端。
具体的算法就如下图 :
代码实现
.NET 下有 System.IdentityModel.Tokens.Jwt,JWT 等实现, PM> Install-Package JWT https://github.com/jwt-dotnet/jwt
public async Task<ActionResult> Index() { //Creating Tokens var exp = Math.Round((DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc)).TotalSeconds + 5); var payload = new Dictionary<string, dynamic>() { { "iss", "irving" }, { "exp", exp}, { "name", "irving" }, { "age", 25 }, { "birthday", "1991-04-18" } }; var secretKey = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk"; string token = JWT.JsonWebToken.Encode(payload, secretKey, JWT.JwtHashAlgorithm.HS256); try { //Verifying and Decoding Tokens string jsonPayload = JWT.JsonWebToken.Decode(token, secretKey); var dictPayload = JWT.JsonWebToken.DecodeToObject(token, secretKey) as IDictionary<string, dynamic>; return Content(jsonPayload + dictPayload["name"]); } catch (JWT.SignatureVerificationException ex) { return Content("Invalid token!"); } }
REFER:
Nodejs RESTFul架构实践之api篇
https://cnodejs.org/topic/557d647216839d2d53936351