JSON Web Token(JWT) 简介

JSON Web Token(JWT) 简介

1 什么是 JWT？

JWT(JSON Web Token)是认证解决方案，下面介绍它的原理和用法.

2 JWT 的结构

JWT 的结构如下

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

JWT的具体表现是一个长字符串，中间用点（.）分隔成三个部分

这三部分分别指的是

Header（头部）
Payload（负载）
Signature（签名）

即：

Header.Payload.Signature

2.1 Header

{"alg": "HS256","typ": "JWT"
}

alg属性表示签名的算法，默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），一般是这两个属性，当然也可以加上其他自定义的属性。

将上面的 JSON 对象使用 Base64URL 算法编码就构成了 JWT 的 Header。

2.2 Payload

Payload 用来存放实际需要传递的数据。JWT 规定了下面7个可选字段（建议但不强制使用）。

iss (issuer)：签发人
exp (expiration time)：过期时间
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：生效时间
iat (Issued At)：签发时间
jti (JWT ID)：编号

除了官方可选字段，你可以在这个部分定义私有字段，如下：

{"sub": "1234567890","name": "John Doe","iat": 1516239022
}

同样上面的 JSON 对象使用 Base64URL 算法编码就构成了 JWT 的 Payload。

2.3 Signature

Signature 部分是对前两部分的签名，防止数据篡改。

首先，需要指定一个密钥（secret）然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名。

HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)

secret 要保存在服务端，JWT的签发和验证都需要用这个 secret，不能泄露

同样使用 Base64URL 算法编码就构成了 signature

最后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就组成了完整的 JWT

3 使用方式

服务端返回 JWT 给客户端，此后，客户端每次与服务器通信，都要带上这个 JWT。可以放在 HTTP 请求的头信息Authorization字段里面。

Authorization: Bearer <token>

或放在 POST 请求的数据体里面

参考链接

• https://jwt.io/introduction/
• https://mgleon08.github.io/blog/2018/07/16/jwt/
• https://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html