初見JWT,不知所云,趕忙Google(百度)一下,原來是跨域身份驗證解決方案。算法
JWT只是縮寫,全拼則是 JSON Web Tokens ,是目前流行的跨域認證解決方案,一種基於JSON的、用於在網絡上聲明某種主張的令牌(token)。數據庫
jwt驗證方式是將用戶信息經過加密生成token,每次請求服務端只須要使用保存的密鑰驗證token的正確性,不用再保存任何session數據了,進而服務端變得無狀態,容易實現拓展。跨域
加密前的用戶信息,如:cookie
{ "username": "vist", "role": "admin", "expire": "2018-12-08 20:20:20" }
客戶端收到的token:網絡
7cd357af816b907f2cc9acbe9c3b4625
一個token分爲3部分:session
3個部分用「.」分隔,如:加密
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
JWT的頭部分是一個JSON對象,描述元數據,一般是:spa
{ "typ": "JWT", "alg": "HS256" }
也能夠是下列中的算法:code
JWS | 算法名稱 | 描述 |
---|---|---|
HS256 | HMAC256 | HMAC with SHA-256 |
HS384 | HMAC384 | HMAC with SHA-384 |
HS512 | HMAC512 | HMAC with SHA-512 |
RS256 | RSA256 | RSASSA-PKCS1-v1_5 with SHA-256 |
RS384 | RSA384 | RSASSA-PKCS1-v1_5 with SHA-384 |
RS512 | RSA512 | RSASSA-PKCS1-v1_5 with SHA-512 |
ES256 | ECDSA256 | ECDSA with curve P-256 and SHA-256 |
ES384 | ECDSA384 | ECDSA with curve P-384 and SHA-384 |
ES512 | ECDSA512 | ECDSA with curve P-521 and SHA-512 |
載荷(payload)是數據的載體,用來存放實際須要傳遞的數據信息,也是一個JSON對象。
JWT官方推薦字段:jwt
也可使用自定義字段,如:
{ "username": "vist", "role": "admin" }
簽名部分是對前兩部分(頭部,載荷)的簽名,防止數據篡改。
按下列步驟生成:
一、先指定密鑰(secret)
二、把頭部(header)和載荷(payload)信息分別base64轉換
三、使用頭部(header)指定的算法加密
最終,簽名(signature) = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
客戶端獲得的簽名:
header.payload.signature
也能夠對JWT進行再加密。
一、服務端根據用戶登陸狀態,將用戶信息加密到token中,返給客戶端
二、客戶端收到服務端返回的token,存儲在cookie中
三、客戶端和服務端每次通訊都帶上token,能夠放在http請求頭信息中,如:Authorization字段裏面
四、服務端解密token,驗證內容,完成相應邏輯