在以前,用户进行认证的时候一般是:
-> 用户向服务端发送验证信息(用户名、密码)。
-> 服务端验证成功就向用户返回一个sessionid,服务端保存了这个session_id对应的信息,写入用户的 Cookie。
-> 之后前端发出的每一次请求,都会通过Cookie,将session_id传回服务端,服务端收到session_id,找到对应的数据,由此得知用户的身份。
但是这种情况下在以下场景下不好实现
比如微博和新浪邮箱都是新浪的。现在要求登陆完新浪邮箱,再访问微博会自动登录。
这时候可以使用JWT。
JWT的原理是,服务器认证以后,生成一个JSON对象,发回给用户,如下所示
{ "data": ".......", "expires": "7730123010203" }
服务器在生成这个对象的时候加上签名。
经过一系列加密和签名算法之后,JWT变成了这样的结构的一个具有有效期的字符串(是否有效服务端会根据expires判断)
Base64URL(header).base64UrlEncode(payload).HMACSHA256(Base64URL(header).base64UrlEncode(payload), secret )
这个字符串。你可以把它放在Cookie里面自动发送,但是这样不能跨域,所以更好的做法是放在HTTP请求的头信息Authorization字段里面。
Authorization: Bearer