什么是JWT
JWT是JSON Web Token的缩写,是一种跨域认证的解决方案。
使用JWT解决什么问题
传统的登录认证的实现,依赖客户端浏览器的cookie和服务器的session,这种实现登录的方式有很大的局限性。
对于部署在单台服务器的应用来说,使用cookie+session登录认证的方案尚且可以接受。
但如果应用程序需要部署到多台服务器上呢?这里面就涉及到session的共享问题,另外,如果不同的域名想实现单点登录功能呢?显示cookie+session同样无法做到。
而要解决上面提出的问题,可以使用JWT,让应用变成无状态,避免session共享问题,而且可以很容易实现服务器的扩展。
JWT的格式
一个正确的JWT格式如下所示:JWT字符串由Header,Payload,Signature三个部分组成,中间使用逗号连接
eyJhbGciOiJIUzI1N.eyJleHAizIjoidGVzdC5jb20ifQ.u7tP_cwmX0JS4LOfh5ZoV6tHeader
Header是一个JSON对象,由token类型和加密算法两个部分组成的
{
"typ": "JWT",//默认为JWT
"alg": "HS256"//支持多种加密算法
}将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Header部分
Base64 编码是一种将二进制数据编码为 ASCII 字符串的方法。然而,Base64 编码后的字符串中可能包含
+、/和=这三个字符,这些字符在 URL 中有特殊含义:
+字符在 URL 中用作分隔符。/字符在 URL 中用于分隔路径。=字符在 URL 中用作查询参数的赋值符号。为了避免这些字符在 URL 中引起问题,JWT 使用了 Base64 URL 安全编码,它是 Base64 编码的一个变种,做了以下修改:
- 将
+替换为-,这在 Base64 URL 编码中是常见的替换字符。- 将
/替换为_,这同样是为了 URL 安全。- 移除
=,这是 Base64 编码中的填充字符,用于确保编码后的字符串长度是 4 的倍数。在 Base64 URL 编码中,这个填充字符被省略,以避免在 URL 中使用。
Payload
JWT的Payload部分与Header一样,也是一个JSON对象,用来存放我们实际需要的数据,JWT标准提供了七个可选的字段,分别为:
除了标准的字段外,我们可以任意定义私有的字段以满足业务需求,如:
{
iss:"my",//标准字段
jti:"test",//标准字段
username:"aaa",//自定义字段
"gender":"男",
"avatar":"https://1.jpg"
}将上面的JSON对象使用Base64URL算法转换成字符串,即可得到JWT中的Payload部分。
Signature
Signature是JWT的签名,生成方式为:将Header与Payload进行Base64URL算法编码后,用逗号链接,再使用密钥(secretKey)和Header中指的加密方式进行加密,最终生成Signature。
JWT的特点
-
最好使用HTTPS协议,防止JWT被盗的可能。
-
除了JWT签发时间到期外,没有其他办法让已经生成的JWT失效,除非服务器端换算法。
-
在JWT不加密的情况下,JWT不应该存储敏感的信息,如果要存放敏感信息,最好再次加密。
-
JWT最好设置较短的过期时间,防止被盗用后一直有效,降低损失。
-
JWT的Payload也可以存储一些业务信息,这样可以减少数据库的查询。
JWT的使用
服务器签发JWT后,发送给客户端,客户端如果是浏览器的话,可以将其存放在cookie或localStorage中,如果是APP的话,则可以存放在sqlite数据库中。
然后每一次接口请求时都带上JWT,而带上来给服务端的方式,也有很多种,比如query、cookie、header或者body,总之就是一切可以带上数据给服务器的方式都可以,但比较规范的做还是通过header Au
