jwt,即 json web token
它能够让服务器判断服务器收到的内容是不是服务器分发的。
jwt 由3部分组成:
第一部分:
{
"typ": "JWT",
"alg": "HS256"
}
--> base64编码
--> eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9
第二部分:
{
"payload": "anything",
"anything": "json you want"
}
--> base64编码
--> eyJmcm9tX3VzZXIiOiJCIiwidGFyZ2V0X3VzZXIiOiJBIn0 (eg.)
第三部分:
第一部分 + '.' + 第二部分 + 'secret'
--> 用第一部分中配置的alg计算hash
合计:
jwt = 第一部分.第二部分.第三部分
当服务器收到jwt后,用第一部分中的hash算法,和自己的secret去校验第一和第二部分信息的是不是自己分发的。
如果算出的hash跟第三部分相同,则接收到的token是合法的。