JWT--Json Web Token

【JWT定义】

　　JSON Web Token（JWT）是一个开放的工业标准RFC 7519，是一个非常轻巧的规范。 

【JWT用途】 

　　这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息，在HTTP通信过程中，进行身份认证。

【为什么要身份认证】 

　　HTTP通信是无状态的，如果不需要识别用户的浏览，客户端的请求到了服务端处理完之后就结束了。

　　但更多时候，是需要识别登录用户的，例如用户登录后浏览、购物车、下单、付款等一系列行为；

　　即使不登录的游客，系统也可能标记，需要对访问的客户端进行识别。 

【常用身份认证方式：Session】 

• 客户端在服务端登录成功之后，服务端会生成一个sessionID，缓存该session(会话)，然后响应携带sessionID返回给客户端，客户端将sessionID保存到cookie中。
• 客户端再次发起请求的时候，携带cookie中的sessionID到服务端，服务端解析获取sessionID并与自身缓存匹配，就知道是哪个用户的请求。

　　　　常用的session解决方案，会遇到以下问题：      

• session保存在服务端，当客户访问量增加时，服务端就需要存储大量的session会话，对服务器有很大的考验；      
• 当服务端为集群时，用户登录其中一台服务器，会将session保存到该服务器的内存中，但是当用户的访问到其他服务器时，会无法访问。这个通常可以采用第三方分布式缓存等技术共享保存session，来解决该问题。 

【另一种身份认证方式：JWT】

• 客户端通过用户名和密码登录服务器；
• 服务端对客户端身份进行验证；
• 服务端对该用户生成Token，返回给客户端；
• 客户端发起请求，需要携带该Token；
• 服务端收到请求后，首先验证Token，之后返回数据。
• 客户端将Token保存到本地浏览器，一般保存到cookie中。

　  与Session方案的区别是：

　　　　服务端不需要保存Token，只需要对Token中携带的信息进行验证即可；

　　　　无论客户端访问后台的那台服务器，只要可以通过用户信息的验证即可。

　   JWT 的原理是，

　　　　服务器认证以后，生成一个 JSON 对象，发回给用户，

　　　　例如：{ "姓名": "张三", "角色": "管理员", "到期时间": "2018年10月31日0点0分"}

　　以后，用户与服务端通信的时候，都要发回这个 JSON 对象。服务器完全只靠这个对象认定用户身份。

　　为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名signature（详见后文）。

　　这样服务器就可以不保存任何 session 数据了，也就是说，服务器变成无状态了，从而更容易实现扩展。

　　也可以理解session是消耗服务器内存存储的方式，JWT是消耗服务器CPU计算的方式。 

【JWT组成】

　　JWT由3段信息组成：

• header信息
• payload信息
• signature信息

　　这3段信息分别base64URL编码后，用英文句号.分隔连在一起，组成JWT字符串。 

　　  

　  header

　　header承担两部分信息：

• 声明令牌类型typ：固定填写JWT。
• 声明signature使用的加密算法alg：默认使用HMAC-SHA256（写为HS256）。

{
　　'typ': 'JWT',
　　'alg': 'HS256'
}

　　然后将header进行base64URL加密，组成JWT的第1段。 

     payload

　　payload是JWT存放有效信息的地方，包含3部分：

• 标准中注册声明 (建议但不强制使用) 

　　　　iss: JWT的签发者

　　　　sub: 服务订阅者，也就是发起请求的服务消费者

　　　　aud: 服务提供者，也就是接收请求，验证通过后才提供服务

　　　　iat: JWT的签发时间

　　　　exp: JWT的过期时间，这个过期时间必须要大于签发时间

　　　　nbf: 定义在什么时间之前，该JWT都是不可用的

　　　　jti: JWT的唯一标识，唯一性标识token，防重放攻击

• 公共声明

　　　　可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息。

• 私有声明

　　　　服务提供者和服务消费者共同定义的声明。　　

　　然后将payload进行base64URL编码，组成JWT的第2段。　　

　　注：payload务必不要存放敏感信息，因为base64URL只是一种编码方式，payload信息本身并不加密。 

     signature

　　JWT的第3段signature是签名信息，用于保证JWT的payload信息的完整性(header和payload数据不会被篡改)。

　　需要指定一个私钥(secret）用于签名。该私钥保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下算法生成签名。 

HMACSHA256  (   base64UrlEncode(header) + "." + base64UrlEncode(payload)   ,  secret  ) 。

　　客户端收到服务端消息后，解析出header和payload，再按同样算法，使用公钥验签。验签通过，证明这是服务端发来的消息，是完整的。

【Base64URL编码】 　　

　　 编码的原因：方便以字节的方式表示数据，便于存储和网络传输。 

　　如前所述，JWT的header和payload都用到了Base64URL编码。该编码方式和常见Base64算法类似，稍有差别。 

　　因为作为令牌的JWT可以放在URL中（例如api.example/?token=xxx），而Base64中用到了3个字符"+"，"/"和"="，在URL中有特殊含义，因此Base64URL中做了替换："="去掉，"+"用"-"替换，"/"用"_"替换，这就是Base64URL算法。  

【用法】 

　　客户端接收服务器返回的JWT，将其存储在Cookie或LocalStorage中。 

　　此后，客户端将在与服务器交互中都会带JWT。

　　如果将它存储在Cookie中，就可以自动发送，但是不能跨域，

　　因此一般是将JWT放入HTTP请求的Header头信息 Authorization字段中   Authorization: Bearer 

　　另一种做法是，当跨域时，将JWT被放置于POST请求的数据主体中。 

【注意】 

　　1、JWT默认不加密，但可以加密。生成原始令牌后，可以使用改令牌再次对其进行加密。 

　　2、当JWT未加密时，一些私密数据千万不要通过JWT传输。 

　　3、JWT不仅可用于认证，还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。 

　　4、JWT的最大缺点是：服务器不保存会话状态，所以在使用期间，不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。 

　　5、JWT本身包含认证信息，因此一旦信息泄露，任何人都可以获得令牌的所有权限。为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。 

　　6、为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。