JWT是什么
JWT是什么���?針對這個問題�����,這篇文章詳細介紹了相對應的分析和解答��,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法���。
jwt是什么
雙方之間傳遞安全信息的簡潔的����、URL安全的表述性聲明規范��。JWT作為一個開放的標準(RFC 7519)���,定義了一種簡潔的���,自包含的方法用于通信雙方之間以Json對象的形式安全的傳遞信息��。簡潔(Compact): 可以通過URL���,POST參數或者在HTTP header發送��,因為數據量小����,傳輸速度也很快 自包含(Self-contained):負載中包含了所有用戶所需要的信息���,避免了多次查詢數據庫�����。
jwt驗證方式是將用戶信息通過加密生成token����,每次請求服務端只需要使用保存
的密鑰驗證token的正確性�����,不用再保存任何session數據了��,進而服務端變得無狀態���,容易實現拓展�。
加密前的用戶信息����,如:
{
"username": "vist",
"role": "admin",
"expire": "2018-12-08 20:20:20"
}客戶端收到的token:
7cd357af816b907f2cc9acbe9c3b4625
JWT 結構
一個token分為3部分:
頭部(header)
載荷(payload)
簽名(signature)
3個部分用“.”分隔���,如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
頭部
JWT的頭部分是一個JSON對象���,描述元數據�����,通常是:
{
"typ": "JWT",
"alg": "HS256"
}typ 為聲明類型����,指定 "JWT"
alg 為加密的算法����,默認是 "HS256"
載荷
載荷(payload)是數據的載體����,用來存放實際需要傳遞的數據信息��,也是一個JSON對象��。
JWT官方推薦字段:
iss: jwt簽發者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時間�����,這個過期時間必須要大于簽發時間
nbf: 定義在什么時間之前��,該jwt都是不可用的.
iat: jwt的簽發時間
jti: jwt的唯一身份標識�,主要用來作為一次性token,從而回避重放攻擊���。
也可以使用自定義字段���,如:
{
"username": "vist",
"role": "admin"
}簽名
簽名部分是對前兩部分(頭部�,載荷)的簽名���,防止數據篡改����。
按下列步驟生成:
1��、先指定密鑰(secret)
2��、把頭部(header)和載荷(payload)信息分別base64轉換
3�����、使用頭部(header)指定的算法加密
最終����,簽名(signature) = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
客戶端得到的簽名:
header.payload.signature
也可以對JWT進行再加密���。
關于JWT是什么問題的解答就分享到這里了��,希望以上內容可以對大家有一定的幫助�,如果你還有很多疑惑沒有解開��,可以關注億速云行業資訊頻道了解更多相關知識�����。
