JWT基础概念详解 _生活百科

JWT基础概念详解JWT介绍

之前我们文章讲过分布式session如何存储，其中就讲到过Token、JWT 。首先，我们来回顾一下使用Token进行身份认证。

客户端发送登录请求到服务器
服务器在用户登录成功之后会生成一个token，此时这个token可能会被存储到数据库、Redis等，实现可以共享，服务端会把生成的token返回给客户端
客户端也会存储这个token ，每次请求需要携带这个token即可。
JWT是token的另一种方式，又有很多不同点。JWT全称是JSON Web Token，它的本质是一个字符串，它里面包含数据和签名，接下来我们看看JWT是如何进行身份认证的。

客户端发送登录请求到服务器
服务器在用户登录成功之后签发一个JWT Token，之后会把这个token直接返回给客户端，此时服务器端是不存储任何用户信息的。
客户端存储JWT Token，每次请求时携带这个token
服务端在每次请求前，检查传过来的token，判断签名、过期时间，验证通过后可以解析出token里面包含的用户信息。

JWT组成

JWT主要由3部分组成，分别是Header、payload、signature 。下面我们具体讲讲每部分的作用。

Header

Header主要存储token类型和签名算法相关信息，例如

{"alg": "HS256","typ": "JWT"}

然后会把这个json字符串使用Base64进行编码，作为JWT的Header部分。

Payload

Payload主要是存储信息的，里面可以存储业务数据或者用户信息, JWT有以下7个默认字段可以选用。

iss: Issure JWT签发方
iat: Issued at time JWT签发时间
sub: Subject JWT主题
aud: Audience JWT接收方
exp: Expiration time JWT过期时间
nbf: Not before time JWT生效时间
jti: JWT ID
下面我们举个例子

{"sub": "123456","username": "admin"}

上面的json字符串会使用Base64进行编码，作为JWT的Payload部分，Payload部分默认是不加密的，所以一定不要把隐私信息放在Payload当中。

Signature

Signature是对上面两部分的数据的签名，对上面的Header和Payload数据，通过指定的算法生成Hash,防止数据被篡改。下面是签名的计算公式
【JWT基础概念详解】HMACSHA256(base64UrkEncode(header) + "." + base64UrlEncode(payload), secret)
在计算出签名后，将上述的Header、Payload和Signature连接成一个字符串，中间使用"."进行分隔，这个就是最终的JWT 。

JWT和Token区别