JWT是什么

JWT是什么？針對(duì)這個(gè)問題，這篇文章詳細(xì)介紹了相對(duì)應(yīng)的分析和解答，希望可以幫助更多想解決這個(gè)問題的小伙伴找到更簡單易行的方法。

jwt是什么

雙方之間傳遞安全信息的簡潔的、URL安全的表述性聲明規(guī)范。JWT作為一個(gè)開放的標(biāo)準(zhǔn)（RFC 7519），定義了一種簡潔的，自包含的方法用于通信雙方之間以Json對(duì)象的形式安全的傳遞信息。簡潔(Compact): 可以通過URL，POST參數(shù)或者在HTTP header發(fā)送，因?yàn)閿?shù)據(jù)量小，傳輸速度也很快 自包含(Self-contained)：負(fù)載中包含了所有用戶所需要的信息，避免了多次查詢數(shù)據(jù)庫。

jwt驗(yàn)證方式是將用戶信息通過加密生成token，每次請求服務(wù)端只需要使用保存

的密鑰驗(yàn)證token的正確性，不用再保存任何session數(shù)據(jù)了，進(jìn)而服務(wù)端變得無狀態(tài)，容易實(shí)現(xiàn)拓展。

加密前的用戶信息，如：

{
    "username": "vist",
    "role": "admin",
    "expire": "2018-12-08 20:20:20"
}

客戶端收到的token：

7cd357af816b907f2cc9acbe9c3b4625

JWT 結(jié)構(gòu)

一個(gè)token分為3部分：

• 頭部(header)

• 載荷(payload)

• 簽名(signature)

3個(gè)部分用“.”分隔，如：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

頭部

JWT的頭部分是一個(gè)JSON對(duì)象，描述元數(shù)據(jù)，通常是：

{
  "typ": "JWT",
  "alg": "HS256"
}

typ 為聲明類型，指定 "JWT"

alg 為加密的算法，默認(rèn)是 "HS256"

載荷

載荷(payload)是數(shù)據(jù)的載體，用來存放實(shí)際需要傳遞的數(shù)據(jù)信息，也是一個(gè)JSON對(duì)象。

JWT官方推薦字段:

• iss: jwt簽發(fā)者

• sub: jwt所面向的用戶

• aud: 接收jwt的一方

• exp: jwt的過期時(shí)間，這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間

• nbf: 定義在什么時(shí)間之前，該jwt都是不可用的.

• iat: jwt的簽發(fā)時(shí)間

• jti: jwt的唯一身份標(biāo)識(shí)，主要用來作為一次性token,從而回避重放攻擊。

也可以使用自定義字段，如：

{
    "username": "vist",
    "role": "admin"
}

簽名

簽名部分是對(duì)前兩部分(頭部，載荷)的簽名，防止數(shù)據(jù)篡改。

按下列步驟生成：

1、先指定密鑰(secret)

2、把頭部(header)和載荷(payload)信息分別base64轉(zhuǎn)換

3、使用頭部(header)指定的算法加密

最終，簽名(signature) = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)

客戶端得到的簽名：

header.payload.signature

也可以對(duì)JWT進(jìn)行再加密。

關(guān)于JWT是什么問題的解答就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，如果你還有很多疑惑沒有解開，可以關(guān)注億速云行業(yè)資訊頻道了解更多相關(guān)知識(shí)。