1、簡介:
Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標(biāo)準(zhǔn)((RFC 7519).該token被設(shè)計為緊湊且安全的,特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認證的用戶身份信息,以便于從資源服務(wù)器獲取資源,也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息,該token也可直接被用于認證,也可被加密。
2、使用場景:
(1) 權(quán)限認證:這是JWT使用最常見的地方,用戶一旦登錄,就會獲得一個JWT,這個JWT使得用戶有權(quán)限訪問
后續(xù)的路徑或者服務(wù)。由于其容量小和易于跨域的特點,因此JWT廣泛應(yīng)用在分布式單點登錄中。
(2) 信息交換:JWT是不同服務(wù)之間信息交換和好的一種方式。因為它可以使用鍵值對來標(biāo)記,所以接收方
可以確定發(fā)送方的身份。此外,JWT的signature的通過head和payload計算出來的,所以可以保證傳遞的信息
內(nèi)容不會被篡改。
3、JWT的結(jié)構(gòu)
JWT有三部分組成,這三部分含義分別是header,payload, signature
Header
頭部包含了兩個方面:類型和使用的哈希算法(如HMAC SHA256):
對這個JSON字符進行base64encode編碼,我們就有了首個JWT:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
Payload
JWT的第二部分是payload,也稱為 JWT Claims,這里放置的是我們需要傳輸?shù)男畔ⅲ卸鄠€項目如
注冊的claim名稱,公共claim名稱和私有claim名稱。
注冊claim名稱有下面幾個部分:
iss: token的發(fā)行者sub: token的題目aud: token的客戶exp: 經(jīng)常使用的,以數(shù)字時間定義失效期,也就是當(dāng)前時間以后的某個時間本token失效。nbf: 定義在此時間之前,JWT不會接受處理。iat: JWT發(fā)布時間,能用于決定JWT年齡jti: JWT唯一標(biāo)識. 能用于防止 JWT重復(fù)使用,一次只用一個token
公共claim名稱用于定義我們自己創(chuàng)造的信息,比如用戶信息和其他重要信息。
私有claim名稱用于發(fā)布者和消費者都同意以私有的方式使用claim名稱。
下面是JWT的一個案例:
{ "iss": "scotch.io", "exp": 1300819380, "name": "Chris Sevilleja", "admin": true }
簽名
JWT第三部分最后是簽名,簽名由以下組件組成:
headerpayload密鑰
下面是我們?nèi)绾蔚玫絁WT的第三部分:
這里的secret是被服務(wù)器簽名,我們服務(wù)器能夠驗證存在的token并簽名新的token。
4、JWT是如何工作的
當(dāng)用戶登錄成功之后,服務(wù)端會生成一個JWT并且返回給瀏覽器(放在響應(yīng)頭中),這種方法代替了傳統(tǒng)的
在服務(wù)端創(chuàng)建一個session然后返回瀏覽器cookie的方法。