本文系转载自segmentfault
JWT的全称是json web token,适用于分布式站点的单点登陆(SSO)场景。一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其他业务逻辑所必需的声明信息,该token也可以直接用于认证,也可被加密。
JWT特点
- 体积小,传输速度快
传输方式多样,可以通过URL/POST参数/HTTP头部等方式
严格的结构化。它自身(在 payload 中)就包含了所有与用户相关的验证消息,如用户可访问路由、访问有效期等信息,服务器无需再去连接数据库验证信息的有效性,并且 payload 支持为你的应用而定制化
支持跨域验证,可以应用于单点登录。
JWT原理
JWT可以分为三部分:头部,载荷,签名
1、头部(header)
// 包括类别(typ)、加密算法(alg);
{
"alg": "HS256",
"typ": "JWT"
}
头部包含两部分信息:
声明类型,这里是jwt
声明加密的算法 通常直接使用 HMAC SHA256
2、载荷:
载荷是存放有效信息的地方。包含三部分:
标准中注册声明
公共的声名
私有的声明
3、签名
jwt的第三部分是一个签证信息,这个签证信息由三部分组成:
header (base64后的)
payload (base64后的)
secret
下图是client使用JWT与server交互过程