JWT介绍

摘自：架构文摘

JWT

JSON Web Token（JWT）是一个非常轻巧的规范，用于在用户和服务器之间传递安全可靠的信息。

JWT的组成

示例就是一个字符串，由三部分组成 ：头部、载荷、签名

载荷（Payload）

将实际要传输的数据信息进行base64编码后得到的字符串。

示例

{
  "iss": "John Wu JWT",
  "iat": 1441593502,
  "exp": 1441594722,
  "aud": "www.example.com",
  "sub": "jrocket@example.com",
  "from_user": "B",
  "target_user": "A"
}

这里面的前五个字段都是由JWT的标准所定义的。

• iss: 该JWT的签发者
• sub: 该JWT所面向的用户
• aud: 接收该JWT的一方
• exp(expires): 什么时候过期，这里是一个Unix时间戳
• iat(issued at): 在什么时候签发的

base64编码后
eyJpc3MiOiJKb2huIFd1IEpXVCIsImlhdCI6MTQ0MTU5MzUwMiwiZXhwIjoxNDQxNTk0NzIyLCJhdW

头部（Header）

用于描述关于该JWT的最基本的信息，例如其类型以及签名所用的算法等。这也可以被表示成一个JSON对象

示例

{
  "typ": "JWT",
  "alg": "HS256"
}

base64编码后
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

签名（Signature）

将上面的两个编码后的字符串都用句号.连接在一起（头部在前），就形成了

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0

将上述字符串用HS256算法进行加密。加密需要提供一个密钥（secret），假设用mystar作为密钥的话，那么加密后的内容为

rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

这一部分又叫做签名

最后将这一部分签名也拼接在被签名的字符串后面，我们就得到了完整的JWT

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

通过这个url就能实现免登录关注了

https://your.awesome-app.com/make-friend/?jwt=eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0.rSWamyAYwuHCo7IFAgd1oRpSP7nzL7BF5t7ItqpKViM

Q

• 签名的目的是什么
• Base64是一种编码，是可逆的，那么我的信息不就被暴露了吗？

签名的目的

防止篡改

信息会暴露？

是的。

避免传递敏感信息。

JWT的适用场景

我们可以看到，JWT适合用于向Web应用传递一些非敏感信息。例如在上面提到的完成加好友的操作，还有诸如下订单的操作等等。

其实JWT还经常用于设计用户认证和授权系统，甚至实现Web应用的单点登录。