什么是JWT？原理是什么？

什么是JWT

JWT 是Json Web Tokens的简称。用百度上面的解释讲，是目前流行的跨域认证解决方案，一种基于JSON的、用于在网络上声明某种主张的令牌（token）。

JTW原理

jwt验证方式是将用户信息通过加密生成token，每次请求服务端只需要使用保存的密钥验证token的正确性，不用再保存任何session数据了，进而服务端变得无状态，容易实现拓展。

比如加密前的信息：

copy
{
    "username": "vist",
    "role": "admin",
    "expire": "2020-11-06 15:14:20"
}

加密后:

copy
6gdfg7af816b907f2cc9acbe9c3b4625

JWT 结构

三部分用“.”隔开。如下

copy
edsfdfsdffdssdfR5cCI6IkpXVCJ9.ekgjfdsdfgrMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.Sfdsgdfgsdfgf36POk6yJVfgsd4treh5hdfs

头部

头部通常由令牌的类型(typ)和签名的算法(alg)组成。一般使用base64编码。

copy
{
  "typ": "JWT",
  "alg": "HS256"
}

这里有个点可以说一下，这个typ类型是媒介类型(Media Type)，可以认为是媒介类型、介质类型、设备类型等等都可以，用户可以根据令牌类型做不同的操作。举个例子有个项目是移动端端和PC端。那么这里就可以设置typ为移动或PC的。

载荷

载荷是数据的主体部分。一般使用base64编码。

可以使用JWT官方推荐字段:

copy
iss: 签发者
sub: 主题
aud: 接收者
exp(expires): 过期时间
iat(issued at): 签发时间
nbf(not before): 早于某个时间不处理
jti(JWT ID): 唯一标识

也可以使用自定义字段

copy
{
    "username": "vist",
    "role": "admin"
}

主体部分可添加非敏感数据

这里就有个问题了，那什么是敏感数据。例如：用户的余额、用户的密码、用户的隐私数据(女性的年龄)等等都可以是敏感的数据。而非敏感数据则是你可以公开出去的数据。

copy
{
  "iss": "我是大哥",
  "sub": "审批",
  "aud": "牛逼",
  "userName": "大哥大",
  "approve":"通过",
  "iat":"1597000000",
  "exp": 1597223455
}

签名

签名部分是对前两部分(头部，载荷)的签名，防止数据篡改。

按下列步骤生成：
1、先指定密钥(secret)
2、把头部(header)和载荷(payload)信息分别base64转换
3、使用头部(header)指定的算法加密

最终：

copy
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), "密钥/盐");

通过算法加密后的结果就是签名。

头部和载荷都用base64编码不怕被解码获取吗？

其实不用担心。因为头部和载荷的信息都是非敏感信息，可以公开的，即使拿到token，也只能解析出非敏感的数据，并不能拿到敏感数据。

同时篡改头部或者载荷的数据是不可能通过校验的。

因为检验token的时候会将【头部.载荷】进行加密然后和签名比较。而签名是由 [头部数据.载荷数据]经过算法加密生成的。也就是说，篡改了就无法通过校验了。

JWT特点总结

JWT更加简洁，更适合在HTML和HTTP环境中传递。，但更建议JWT建议使用HTTPS协议来传输代码。

JWT适合一次性验证，如：激活邮件

JWT适合无状态认证

JWT适合服务端CDN分发内容

相对于数据库Session查询更加省时

跨域认证需要做Session共享，而使用了JWT则不需要。因为只要其他服务器只要是使用同一套算法，就可以做信息的校验。

JWT默认不加密

使用期间不可取消令牌或更改令牌的权限