JSON Web Tokens通常被用来application上的用户认证令牌。使用jwts后application用户就不再需要持有cookies或者session数据了。它具有伸缩性同时也保证了应用的安全性。
在认证过程中,当一个用户成功登录后,它将返回一个json web token并且保存在本地(一般是保存在local storage).每当这个用户想去访问受保护的网络资源时,请求必须带上jwt,通常是通过header的Authorization 来设置,按Bearer schema格式。
当后端服务接收到带着jwt的请求后,它会去验证token,token包含了几部分,如果其中任何一部分验证失败,这个请求就会被拒绝。
验证步骤:
1.检查JWT格式 2.检查签名 3.验证标准要求 .4验证客户端权限
应用要支持认证和授权,我们需要实现一个身份验证过滤器用来处理jwt 和 一个授权过滤器验证jwts请求。