1.JWT长什么样?
JWT:Json Web Token ,是由三段信息构成的,将这三段信息用 . 相连在一起就构成了JWT字符串:
eyJhbGciOiI6IkRFRiJ9.eNqEj0GOhCAURO_ohbw8ZqUaEUDMe6F.2A2jGp9sAw-QdkOVmm_dfD6Q
2.token的鉴权机制
http协议无状态的,所以需要sessionId或token的鉴权机制,jwt的token认证机制不需要在服务端再保留用户的认证信息或会话信息。这就意味着基于jwt认证机制的应用程序不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利,jwt更适用于分布式应用。
token认证流程上是这样的:
- 用户使用用户名密码来请求服务器进行验证
- 服务器通过验证,发送给用户一个token(该jwt 不需要在服务器保存一份)
- 客户端存储token且在每次请求时附送上这个token值
- 服务端验证token值,并返回业务数据
这个token必须要在每次请求时传递给服务端,它应该保存在请求头里, 另外,服务端要支持CORS(跨来源资源共享)策略,
一般我们在服务端这么做就可以了Access-Control-Allow-Origin: *
一般是手动在请求头里加入参数 ‘Authorization’,并加上 ”Bearer ” 标注(非必须):
Authorization:Bearer eyJhbGciOiI6IkRFRiJ9.eNqEj0GOhCAURO_ohbw8ZqUaEUDMe6F.2A2jGp9sAw-QdkOVmm_dfD6Q
也可以放到cookie中,让浏览器发送请求时自动携带。
3.JWT的构成
一个JWT实际上就是一个字符串,它由三部分组成:header头部、playload载荷、sign签名。
3.1头部
描述关于该JWT的最基本的信息,例如其类型以及签名所用的算法等。表示成一个JSON对象,经base64编码形成第一部分。
例如:
{ 'typ': 'JWT', //类型 'alg': 'HS256' //sign的加密算法 }
base64编码:eyJhbGciOiI6IkRFRiJ9
3.2载荷
其实就是自定义的数据,一般存储用户Id,用户名、过期时间等信息。也就是JWT的核心所在,因为这些数据就是使后端知道此token是哪个用户已经登录的凭证。而且这些数据是存在token里面的,由前端携带,所以后端几乎不需要保存任何数据。
例如:
{ 'uid': '1234567', //用户编号
'name': 'kobe', //用户名
'exp': '20210526121212' //过期时间
}
base64编码:eNqEj0GOhCAURO_ohbw8ZqUaEUDMe6F
3.3签名
1.头部和载荷各自由base64加密后用 . 连接起来,然后就形成了xxx.yyy的前两段token。
2.最后一段token的形成:前两段字符串xxx.yyy 加入一个密钥用sha256算法或者其他算法加密形成不可逆的密文sign。
哈希算法生成的sign:2A2jGp9sAw-QdkOVmm_dfD6Q
4.总结
- 因为json的通用性,所以JWT是可以进行跨语言支持的,像JAVA,JavaScript,NodeJS,PHP等很多语言都可以使用
- 因为有了payload部分,所以JWT可以存储一些其他业务逻辑所需要的非敏感信息,敏感信息还是不建议存放到jwt中
- 便于传输,jwt的构成非常简单,字节占用很小,所以它是非常便于传输的
- 它不需要在服务端保存会话信息, 所以它易于应用的扩展
- 服务器保护好secret私钥,该私钥很重要,不能泄露
- 如果可以,请使用https协议