JWT(JSON Web Token)是目前比较流行的一种身份认证解决方式,下面详细的介绍下原理、用法和局限性。
JWT本质上就是一个字符串,客户端提交账号密码(或其他凭证)到服务器,服务器认证通过以后根据一些规则生成一个字符串并返回给客户端,客户端随后的每次接口请求都将这个字符串传给服务端,服务端拿到这个字符串后经过解析校验,最终获取到用户的身份,服务端是不需要保存这个字符串。
下面是一个常规的 JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.cThIIoDvwdueQB468K5xDc5633seEFoqwxjF_xSJyQQ
可以看出 JWT 是被点`.`分隔成三个部分的字符串。JWT 的三个部分依次如下:
Header(头部)
Payload(负载)
Signature(签名)
基本结构就是`Header.Payload.Signature`。
Header 部分经过解析后是一个 JSON 对象,用来描述 JWT 的元数据,一般结构如下:
- {
- "alg": "HS256",
- "typ": "JWT"
- }
alg 属性表示签名的算法(algorithm),默认是 HMAC SHA256;typ属性表示 token 的类型(type)。将 JSON 对象使用 Base64URL 算法转成字符串。
Payload 部分经过解析后也是一个 JSON 对象,用来存放用户身份相关数据。例如:
- {
- "sub": "1234567890",
- "name": "路多辛",
- "admin": true
- }
将 JSON 对象使用 Base64URL 算法转成字符串。
Signature 部分是对前两部分的签名,防止数据被篡改。首先需要指定一个密钥(这个密钥必须要存放在服务器端,不能泄露给客户端),然后使用 Header 里面指定的签名算法(默认是 HMAC SHA256)按照下面的公式计算出签名。
- HMACSHA256(
- base64UrlEncode(header) + "." +
- base64UrlEncode(payload),
- secret)
计算出签名以后,把 Header、Payload、Signature 三个部分拼成一个字符串(每个部分之间用点`.`分隔)后返回给客户端。