一、JWT
1.什么是JWT?
JWT组成:
Header、Payload、Signature;
Header头部:
头部包含了2部分,token类型和采用的加密算法。
{
"alg": "HS256",
"typ": "JWT"
}
他会使用Base64编码作为JWT的第一部分。
注:Base64是⼀种编码,也就是说,它是可以被翻译回原来的样⼦来的。它并不是⼀种加密过程。
Payload负载:
这部分用来存放信息的地方,同样使用Base64编码组成。
Signature签名:
Signature 需要使⽤编码后的 header 和 payload 以及我们提供的⼀个密钥,然后使⽤ header 中指定的签名算法(HS256)进⾏签名。签名的作⽤是保证 JWT 没有被篡改过。
签名的目的:
最后⼀步签名的过程,实际上是对头部以及负载内容进⾏签名,防⽌内容被窜改。如果有⼈对头部以及负载的内容解码之后进⾏修改,再进⾏编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不⼀样的。如果要对新的头部和负载进⾏签名,在不知道服务器加密时⽤的密钥的话,得出来的签名也是不⼀样的。
2.为什么用JWT
传统授权方法的问题是用户每次请求资源服务,资源服务器都需要携带令牌访问认证服务器去校验令牌的合法性,并根据令牌获取用户的相关信息,性能低下。
我们可以使用公钥私钥完成对令牌的加密解密,如果加密解密成功,则表示令牌合法,如果加密解密失败,则表示令牌不合法,合法则允许访问资源服务器的资源,解密失败,则不允许访问资源服务器的资源。