JWT

Posted 2021-01-26 gootter

JWT 的原理

服务器认证后，发送一个JSON对象给用户。之后用户与服务器通信的时候，都要发回这个JSON对象。同时，为了防止用户篡改数据，服务器生成这个数据的时候，会加上签名。

JWT 的数据结构

它是一个很长的字符串，中间用点（.）分隔成三个部分。

三个部分一次如下：

• Header（头部）
• Payload（负载）
• Signature（签名）

Header

JSON对象，描述 JWT 的元数据

{
  "alg": "HS256",
  "typ": "JWT"
}

alg表示签名的算法，默认是 HMAC SHA256（写成 HS256）

typ表示令牌的token类型，JWT令牌统一写为JWT

最后使用Base64URL 算法将他转换成字符串

Payload

JSON对象，用来存放实际需要传递的数据。

7个官方字段：

• iss (issuer)：签发人
• exp (expiration time)：过期时间
• sub (subject)：主题
• aud (audience)：受众
• nbf (Not Before)：生效时间
• iat (Issued At)：签发时间
• jti (JWT ID)：编号

也可以定义私有字段，但不能存放私密字段

最后使用Base64URL 算法将他转换成字符串

Signature

对前两部分的签名，防止数据篡改

首先，指定一个只有服务器才知道的密钥secret，之后使用header中的签名算法使用如下方式产生签名，默认（HMAC SHA256）

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

最后将以上三部分字符串拼接，拼接处用.分隔

Base64URL

类似于Base64，但是有些小的不同。

JWT令牌可能会放在URL中，Base64 有三个字符+、/和=，在 URL 里面有特殊含义，所以要被替换掉：=被省略、+替换成-，/替换成_ 。这就是 Base64URL 算法。

JWT 的使用方式

（1）放在客户端的cookie或localStroage中，放在cookie中每次请求都会自动发送，但是不能跨域

（2）放在请求头信息Authorization字段里面

（3）放在post请求体中

JWT 的几个特点

（1）JWT默认时不加密的，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。不加密的情况下，不能将秘密数据写入JWT

（2）JWT不仅可以用于认证，也可以用于交换信息

（3）为减少盗用，JWT不应该用HTTP明码传输，而使用HTTPS，对于比较重要的权限，应该进行二次验证

（4）JWT的缺点，由于保存在客户端，因此服务端在token到期之前是不可控的，尽量减短token的过期时间