JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案, 定义了一种紧凑且自包含的,用于在多方传递JSON对象的技术。
在了解JWT之前,先了解一下目前两种主流身份验证方式:传统身份验证、基于Token的身份验证。
传统身份验证
HTTP 是一种无状态的协议,没有上下文会话机制,每一条HTTP请求都是相互独立的。为了识别用户和保存用户的状态,可以依靠Cookie和Session来处理,流程如下:
- 客户端使用用户名密码进行认证
- 服务端生成并存储 Session,将 SessionID 通过 Cookie 返回给客户端
- 客户端访问需要认证的接口时在 Cookie 中携带 SessionID
- 服务端通过 SessionID 查找 Session 并进行鉴权,返回给客户端需要的数据
![21c6de11f321684addb9613abb48992a.png](https://i-blog.csdnimg.cn/blog_migrate/9aad257d370343df349668202a851133.jpeg)
这种身份验证方法,需要在服务端存储为登录的用户生成的Session,这些Session可能会存储在内存,磁盘,或者数据库里。
基于Token的身份验证
使用基于 Token 的身份验证方法,在服务端不需要存储用户的登录记录。大概的流程是这样的:
- 客户端使用用户名跟密码请求登录
- 服务端收到请求,去验证用户名与密码
- 验证成功后,服务端会签发一个 Token,再把这个 Token 发送给客户端
- 客户端收到 Token 以后可以把它存储起来,比如放在 Cookie 里或者 Local Storage 里
- 客户端每次向服务端请求资源的时候需要带着服务端签发的 Token
- 服务端收到请求,然后去验证客户端请求里面带着的 Token,如果验证成功,就向客户端返回请求的数据
![957c542fd0cbefcf4cb3c7a959165b2b.png](https://i-blog.csdnimg.cn/blog_migrate/5184b639b09a4381d92dbbf7bf073b45.jpeg)
JWT
JWT的原则是在服务器身份验证之后,将生成一个JSON对象并将其发送回用户。,当用户与服务器通信时,客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据,服务器将在生成对象时添加签名。 与基于Token的身份验证方法一样,服务器不保存任何会话数据,即服务器变为无状态,使其更容易扩展。
![d6401e69e7cc16ca3f82c9771b20e56b.png](https://i-blog.csdnimg.cn/blog_migrate/2448fb99be816fc86f9016a0021568f9.jpeg)
Jwt 形式的 token 一般分为 3 个部分,分别是 Header,Payload,Signature,这三个部分使用 .分隔(格式:Header.Payload.Signature) 。其中前两部分使用Base64URL编码,未经加密处理,第三个部分使用 RSA 加密。
![77f7a814a004c94587614617574be309.png](https://i-blog.csdnimg.cn/blog_migrate/b557f2e9aa853ea6d26ff14ee69f7eaa.jpeg)
1.头部(HEADER)
HEADER主要为了描述该JWT的最基本信息,主要包含两个部分:声明类型和声明加密算法(通常直接使用HMAC,SHA256)
{ "alg": "HS256