了解 JWT

JWT官网： https://jwt.io/

一：JWT简介

JWT全名JSON WEB TOKEN，是一个JSON网络令牌，JWT是一个轻便的安全跨平台传输格式，定义了一个紧凑的自包含的方式在不同实体之间安全传输信息（JSON格式）。它是在Web环境下两个实体之间传输数据的一项标准。实际上传输的就是一个字符串。广义上讲JWT是一个标准的名称；狭义上JWT指的就是用来传递的那个token字符串

二：JWT作用

由于http协议是无状态的，所以客户端每次访问都是新的请求。这样每次请求都需要验证身份，传统方式是用session+cookie来记录/传输用户信息，而JWT就是更安全方便的方式。它的特点就是简洁，紧凑和自包含，而且不占空间，传输速度快,而且有利于多端分离，接口的交互等等，JWT是一种Token规范，主要面向的还是登录、验证和授权方向，当然也可以用只来传递信息。一般都是存在header里

三：JWT结构

JWT一共分为三个部分：Header(头部) . Payload(负载) . Signature(签名) ;

1：Header(头部)

Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子：

{
  "alg": "HS256",
  "typ": "JWT"
}

字段 全称 描述

alg algorithm 是签名的算法；一般是 HS256

typ type 固定值为 JWT

二：PayLoad(负载)

Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用：

{
    "iss": "d8b832c0c8caf0d99e9406ed",
    "sub": "1",
    "aud": "baijunyao",
    "iat": "1557066830",
    "nbf": "1557066840",
    "exp": "1557066850",
    "jti": "9e9668d8b8306ed8caf0d94"
}

字段 全称 描述

iss issuer 发布者

sub subject 面向的用户

aud audience 受众

iat issued at 签发时间的时间戳

nbf not before 生效时间的时间戳

exp expiration time 过期时间的时间戳

jti jwt id 每个 JWT 自己的唯一 id

除了官方定义的这些字段，我们也可以自己定义一些自己需要的字段

三：Signature(签名)

Signature 部分是对前两部分的签名，防止数据篡改，默认使用 HS256 算法进行签名；

签名的方式是把 头部和负载分别 base64UrlEncode 后用 . 拼接起来使用 Secret 进行 HS256 ；

Signature = HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

四：JWT

JWT一共由Header(头部) . Payload(负载) . Signature(签名) 组成，我们把 base64UrlEncode 的头部和负载以及签名用 . 拼接起来就是一个 JWT 了

JWT = base64UrlEncode(Header) . base64UrlEncode(Payload) . HS256(base64UrlEncode(Header) . base64UrlEncode(Payload), Secret)

由于JWT 中的 Header 和 Payload 是使用 base64UrlEncode 进行加密的； 任何人都可以非常轻松的就使用 base64UrlDecode 进行解密，所以JWT中千万不要存储敏感数据，WT 是由服务器端生成返回给前端的； 前端在发送请求的时候一般把 JWT 放在 HTTP Headers 中的 Authorization 字段中，也可以直接放在URl链接上

五：JWT特点

1：优点

(1)相比于 session 少了读取文件的步骤，效率更高，方便扩展

(2)因为不使用 cookie 天生免疫 CSRF 攻击

(3)因为不使用 cookie 不用担心用户禁用 cookie ；不用悬挂本站需要使用 cookie 的提示信息；

(4)适合 APP 前后端分离的场景

2：缺点

(1)一旦签发不能撤销 没有类似清空 session 的操作

(2)不能自动续签