1、簡介：

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準((RFC 7519).該token被設(shè)計為緊湊且安全的，特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務(wù)提供者間傳遞被認證的用戶身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

2、使用場景：

(1) 權(quán)限認證：這是JWT使用最常見的地方，用戶一旦登錄，就會獲得一個JWT，這個JWT使得用戶有權(quán)限訪問

后續(xù)的路徑或者服務(wù)。由于其容量小和易于跨域的特點，因此JWT廣泛應(yīng)用在分布式單點登錄中。

(2) 信息交換：JWT是不同服務(wù)之間信息交換和好的一種方式。因為它可以使用鍵值對來標記，所以接收方

可以確定發(fā)送方的身份。此外，JWT的signature的通過head和payload計算出來的，所以可以保證傳遞的信息

內(nèi)容不會被篡改。

3、JWT的結(jié)構(gòu)

JWT有三部分組成，這三部分含義分別是header，payload, signature

Header

頭部包含了兩個方面：類型和使用的哈希算法(如HMAC SHA256)：

對這個JSON字符進行base64encode編碼，我們就有了首個JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

JWT的第二部分是payload，也稱為 JWT Claims，這里放置的是我們需要傳輸?shù)男畔?，有多個項目如

注冊的claim名稱，公共claim名稱和私有claim名稱。

注冊claim名稱有下面幾個部分：

iss: token的發(fā)行者sub: token的題目aud: token的客戶exp: 經(jīng)常使用的，以數(shù)字時間定義失效期，也就是當前時間以后的某個時間本token失效。nbf: 定義在此時間之前，JWT不會接受處理。iat: JWT發(fā)布時間，能用于決定JWT年齡jti: JWT唯一標識. 能用于防止 JWT重復(fù)使用，一次只用一個token

公共claim名稱用于定義我們自己創(chuàng)造的信息，比如用戶信息和其他重要信息。

私有claim名稱用于發(fā)布者和消費者都同意以私有的方式使用claim名稱。

下面是JWT的一個案例：

{ "iss": "scotch.io", "exp": 1300819380, "name": "Chris Sevilleja", "admin": true }

簽名

JWT第三部分最后是簽名，簽名由以下組件組成：

headerpayload密鑰

下面是我們?nèi)绾蔚玫絁WT的第三部分：

這里的secret是被服務(wù)器簽名，我們服務(wù)器能夠驗證存在的token并簽名新的token。

4、JWT是如何工作的

當用戶登錄成功之后，服務(wù)端會生成一個JWT并且返回給瀏覽器(放在響應(yīng)頭中)，這種方法代替了傳統(tǒng)的

在服務(wù)端創(chuàng)建一個session然后返回瀏覽器cookie的方法。