5分钟搞懂：JWT(Json Web Token)

https://www.qikegu.com/easy-understanding/892

JWT

基于token的用户认证原理：让用户输入账号和密码，认证通过后获得一个token（令牌），在token有效期里用户可以带着token访问特定资源。

开始token并没有一个统一标准，大家都各自使用自己的方案。后来出现了JWT(Json Web Token)这个标准。

JWT本质上是一个对JSON对象加密后的字符串。当服务器认证用户通过后，一个包含用户信息的json对象被加密后返回给用户，json对象：

{
  "UserName": "老王",
  "Role": "admin",
  "Expire": "2019-01-10 20:10:00"
}

之后，用户访问服务器时，都要返回这个json对象。服务器只靠这个对象就可以识别用户身份，不需要再去查数据库。为了防止用户篡改数据，服务器在生成对象时将添加一个签名。

服务器不保存任何会话数据，也就是说，服务器变得无状态，从而更容易扩展。

JWT的结构

典型的JWT由三个部分组成，每个部分由一个点(.)分隔。

• Header
• Payload
• Signature

header.payload.signature

Header

头部包含所使用的签名算法和令牌的类型(即JWT)，这部分会被编码为Base64URL格式。

{
    "alg": "HS256",
    "typ": "JWT"
}

Base64URL的格式：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Base64URL

Base64编码后可能出现字符+和/，在URL中不能直接作为参数，Base64URL就是把字符+和/分别变成-和_。JWT有可能放在url中，所以要用Base64URL编码。

Payload

Playload包含实际要传输的信息，附带一些其他信息如过期时间、发行时间等。JWT指定了一些官方字段（claims）备用:

• iss: 签发人
• exp: 过期时间
• iat: 签发时间
• nbf: 生效时间
• jti: 编号
• sub: 主题
• aud: 受众

除了官方字段，在这个部分还可以添加私有字段，例如：

{
  "sub": "1234567890",
  "name": "隔壁老王",
  "iat": 1516239022
}

这部分也是Base64URL编码的：

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IumalOWjgeiAgeeOiyIsImlhdCI6MTUxNjIzOTAyMn0

Signature

Signature部分是对前两部分的防篡改签名。将Header和Payload用Base64URL编码后，再用点(.)连接起来。然后使用签名算法和密钥对这个字符串进行签名：

signature = hmac_sha256(base64encode(header) + '.' + base64encode(payload), 'MY_SUPER_SECRET_KEY')

这个密钥（MY_SUPER_SECRET_KEY）只有服务器才知道，不能泄露给用户。

签名信息：

huj1R4oYsSxbIpecRwGcDBzqFkL9dXA88P2ouM5xhT8

组合在一起

3部分组合在一起，构成了完整的jwt：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IumalOWjgeiAgeeOiyIsImlhdCI6MTUxNjIzOTAyMn0.huj1R4oYsSxbIpecRwGcDBzqFkL9dXA88P2ouM5xhT8

JWT怎么用

浏览器接收到服务器发过来的jwt后，可以存储在Cookie或localStorage中。

之后，浏览器每次与服务器通信时都会带上JWT。可以将JWT放在Cookie中，会自动发送（不跨域），或将JWT放在HTTP请求头的授权字段中。

Authorization: Bearer <token>

也可放在url中，或POST请求的数据体中。

注意

• JWT默认是不加密的，但也可以加密，不加密时不宜在jwt中存放敏感信息
• 不要泄露签名密钥(MY_SUPER_SECRET_KEY)
• jwt签发后无法撤回，有效期不宜太长
• JWT泄露会被人冒用身份，为防止盗用，JWT应尽量使用https协议传输