相关文章:
Json Web Token 简称JWT,是一个开放的行业标准(RFC 7519),它定义了一种简洁的、自包含的协议格式,用于在通信双方传递JSON对象,传递的信息经过数字签名可以被验证和信任。JWT可以使用HMAC算法或使用RSA的公钥/私钥来签名,防止被篡改。
官网: https://jwt.io
标准:https://tools.ietf.org/html/rfc7519
JWT令牌的优点:
缺点:
这是一段JWT,一个JWT就是一个字符串,由三部分组成:头部、载荷、签名
头部用于描述关于该JWT的最基本的信息,例如其类型(JWT)以及签名所用的算法(如HMAC SHA256或RSA)等,这也可以被表示成一个JSON对象。
{
"alg":"HS256",
"typ":"JWT"
}
typ
:类型 alg
:签名的算法
再对JSON字符串进行Base64编码,得如下字符串:
ewoiYWxnIjoiSFMyNTYiLAoidHlwIjoiSldUIgp9
第二部分是负载,用来存放有效信息,这些有效信息包含三个部分:
iss
: jwt签发者sub
:jwt所面向的用户aud
:接收jwt的一方exp
:jwt的过期时间,这个过期时间必须要大于签发时间nbf
:定义在什么时间之前,该jwt都是不可用的iat
:jwt的签发时间jti
:jwt的唯一身份标识,主要用来作为一次性token,从而避免重放攻击但不建议添加敏感信息,因为该部门在客户端可解密
一般不建议存放敏感信息,因为base64是对标解密的,意味着该部分信息可以归类为明文信息
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
sub
标准的声明,name
自定义的声明(公共的或者私有的)
再base64后得到jwt的第二部分:
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ
JWT的第三部分是一个签证信息,这个签证信息由三部分组成:
.
连接组成的字符串,然后通过header中声明的加密方式进行加盐secret
,然后构成jwt的第三部分。SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
🚫 secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用来进行jwt签发和jwt验证,所以它就是你服务端的私钥,不能流露出去。
最终将这三部分用.
连接成一个完整的字符串,构成最终的JWT
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c