什么是JWT
JSON Web Token (JWT)是一个开放标准(RFC 7519),它定义了一种紧凑的、自包含的方式,用于作为JSON对象在各方之间安全地传输信息。该信息可以被验证和信任,因为它是数字签名的。
JWT的结构
JSON Web Token由三部分组成,它们之间用圆点(.)连接。这三部分分别是:
- Header
- Payload
- Signature
所以,一个典型的JWT看起来是这样的
xxxxx.yyyyy.zzzzz
Header
Header由两部分组成:
-
token的类型(JWT)
-
算法名称(比如:HMAC-SHA256或者RSA等等)
它看起来就会是这个样子
{
'alg': "HS256",
'typ': "JWT"
}
复制代码然后使用Base64对这个JSON进行编码,就得到了JWT的第一部分
Payload
这部分就是我们存放信息的地方,我们可以把用户ID等信息放在这里。
JWT规范里面对这部分有了比较详细的介绍,常用的有iss(签发者),iat(签发时间),exp(过期时间),sub(面向的用户),aud(接收方)。
{
"iss": "lion1ou JWT",
"iat": 1441593502,
"exp": 1441594722,
"aud": "www.example.com",
"sub": "example@163.com"
}
复制代码对payload进行base64编码得到 JWT 的第二部分
注意,不要在JWT的payload或header中放置敏感信息,除非它们是加密的。
Signature
为了得到签名,我们需要前面经过base64编码的header和paylad,以及一个秘钥。签名算法是header中指定的那个。
例如:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
复制代码签名是用于验证消息在传递过程中是否被修改。对于使用私钥签名的token,它还可以验证JWT的发送方是否为它所称的发送方。
JWT的实际运用
JWT实际上只是一个规范,一个Token的规范。符合JWT规范的Token可以用于Authorization (授权)。
用户首次登录,服务器会为其生成一个token,并返回给客户端。客户端接收到之后,存储下来,之后每次请求的请求头都会包含token。服务器收到请求,就会验证客户端发送过来的token。验证通过,就响应请求,否则就提示用户登录失效。
符合JWT规范的token可以用于登录授权的原因是:
- 当JWT的任一部分被修改的时候:服务器对前面两个部分进行签名,就会发现两次签名不一致