目录

一.什么JWT？

1.JWT官网解释翻译

2.通俗解释

3.JWT能做什么？

4.传统的session认证

 二.JWT结构

三.JWT实战

相关面试题

---

一.什么JWT？

官网地址：JSON Web Token Introduction - jwt.io

1.JWT官网解释翻译

jsonwebtoken(JWT)是一个开放标准，定义了一个紧凑，自包含方式，用于在各方之间以json对象安全的传输信息（是数字签名的，可以验证信任）。

2.通俗解释

JWT是在各方安全信息传递的好方法。可以对JWT进行签名，可以确保发件人是我们所认为的人，保证内容不被篡改。

3.JWT能做什么？

• 授权认证，当用户登录会得到JWT，后续请求都携带JWT，可以访问允许的资源。
• 安全的信息传递，可以检验信息是否被篡改。

4.传统的session认证

流程

 暴露问题

• 每个用户认证之后（登录验证用户名密码，权限），生成对应的session，用户增多，增加服务端的压力
• 在一台服务器上认证，在其他其他服务器上是无法获取对应的session,在分布式应用上就限制了负载均衡器能力
• cookie被截获容易遭受跨站请求伪造的攻击（其实token也有泄露的可能）。

基于JWT认证流程

针对JWT登录相关操作（token就是JWT，JWT 是Json Web Token简写）

1. 认证成功，将用户id放在负载里，生成token返回前端，前端存储（一般有效期为14天）
2. 退出登录，在前端删除token,然后将登录的个人信息刷新为空。
3. 每次请求将JWT放在 http header里，解决XSS，XSRF

 二.JWT结构

JWT令牌的组成

Header.Payload.Signature(Base64进行编码，可解码)

• Header,表头由令牌类型和所使用的签名算法{ "alg" : "HS256", "typ" : "jwt" }
• Payload,有效负载，携带信息，不要放敏感信息如用户名密码
• Signature,使用base64编码后的Header,Payload和自定义的密钥，以及签名算法（Header里声明了）生成签名，是不可逆的，通过签名判断（验签过程）信息是否被篡改。

三.JWT实战

作者正在加紧写。。。。

相关面试题

• 什么是 JWT?为什么要用 JWT？
• JWT优势？

1. 是一个字符串，体积小，传输速度快。
2. 跨语言，支持任何形式的web
3. 将用户信息放在负载里，不用请求查询数据库
4. 特别适合分布式系统
5. 保存在前端，不会对后端造成压力

• JWT 由哪些部分组成？
• 如何基于 JWT 进行身份验证？
• JWT 如何防止 Token 被篡改？
• 如何加强 JWT 的安全性？
• 如何让 Token 失效？