JSON Web Token一种数据格式,用来表示Token。具有可扩展、防篡改、能够在URL中安全传输的特性,已经形成标准,定义在rfc7519

JSON Web Token (JWT) is a compact, URL-safe means of representing claims to be transferred between two parties.

JWT的发音跟单词jot相同,读[dʒɑt]。

JWT长什么样

JWT的最终表现形式是一个字符串,由两个点分隔的,不包含换行字符串。就像下面这样:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqb2UiLCJleHAiOjEzMDA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ.6xWqaqNdCsyhIjc32MJKfikpOhAaBG9mz93He-E3Hvs

两个“.”把JWT分成了三段:

HEADER.PAYLOAD.SIGNATURE

HEADER、PAYLOAD、SIGNATURE这三段内容都是URL Safe的Base64编码字符串。Base64大家都清楚,URL Safe是把Base64编码后的字符串里面的=省略、+和/替换成-和_。这样最终的字符串就能够安全地放到URL里面而不需要再encode了。

HEADER

Header这段URL Safe的Base64编码字符串“eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9”在decode之后,是一个二进制的JSON。

转化成JSON字符串,是这样的:

{

  "typ": "JWT",

  "alg": "HS256"

}

格式就是这样了,typ不会变,alg代表签名算法。HS256代表HMAC-SHA256,是当前最常用的MAC算法。不了解MAC可以看这里

alg还可以有其它取值,除了用MAC,还可以用RSA、ECC这种非对称签名算法。这个算法是用来计算SIGNATURE这一段内容的,具体干啥用,下面再具体介绍。

PAYLOAD

Payload这段URL Safe的Base64编码字符串“eyJpc3MiOiJqb2UiLCJleHAiOjEzMDA4MTkzODAsImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ”在decode之后,也是二进制的JSON。

转化成JSON字符串,是这样的:

{

  "iss": "joe",

  "exp": 1300819380,

  "http://example.com/is_root": true

}

顾名思义,这一段是JWT对应用来说真正有用的内容。rfc7519定义了一些可以使用的固定字段:

  • "iss" (Issuer) 签发者
  • "aud" (Audience) 申请签发者
  • "exp" (Expiration Time) 过期时间
  • "nbf" (Not Before) 生效时间
  • "iat" (Issued At) 签发时间
  • "jti" (JWT ID) 唯一编号

虽然定义了一些字段,但这些字段全都是可选的,另外可以随意添加自定义字段。所以Payload可以理解成一个可以自定义的JSON。

SIGNATURE

JSON编码、Base64编码都是对数据进行的序列化,相当于明文存储。需要一种机制来保证JWT在传输过程中没有被篡改。

SIGNATURE就是干这事儿用的,“6xWqaqNdCsyhIjc32MJKfikpOhAaBG9mz93He-E3Hvs”这一段decode完,就是一个HMAC-SHA256的签名。相当于下面这段代码的计算结果:

HMACSHA256(

  base64UrlEncode(header) + "." +

  base64UrlEncode(payload),

  your-256-bit-secret

)

其实就是用密钥对JWT前两段做了个签名,然后拼接在后面。

只要密钥不丢,别人即便拿到了JWT,解码看到了里面都有啥,也不能篡改内容。

解析示例

JWT有什么用

Web应用在很多时候需要令牌(Token)来串联业务,比如登录态保持、SSO登录态传递等。

在大部分场景,如果Token中能够包含一部分业务数据,业务流程会大大简化。JWT就是这样一种数据格式约定,考虑到了这些场景下对Token格式的要求,比如防篡改、TTL、多种算法、URL Safe等等,让大家可以拿来就用,不必再重复设计格式。

很方便,不过也仅仅就是一种格式而已,如果觉着不好,比如嫌JWT最终生成的字符串太长,那就设计自己的格式好了。

Reference

https://tools.ietf.org/html/rfc7519

https://jwt.io/introduction/

JWT简明介绍的更多相关文章

  1. Spark如何使用Akka实现进程、节点通信的简明介绍

    <深入理解Spark:核心思想与源码分析>一书前言的内容请看链接<深入理解SPARK:核心思想与源码分析>一书正式出版上市 <深入理解Spark:核心思想与源码分析> ...

  2. Linq4j简明介绍

    Linq4j简明介绍 开发JAVA一段时间,面临的一大问题就是集合操作,习惯了LINQ的简洁语法,对JAVA的集合操作实在是无甚好感,只能通过C系的循环实现筛选等操作,由于没有延迟执行特性,内存占用实 ...

  3. JWT的介绍解析

    JWT的介绍解析 一.什么是JWT?了解JWT,认知JWT 首先jwt其实是三个英语单词JSON Web Token的缩写.通过全名你可能就有一个基本的认知了.token一般都是用来认证的,比如我们系 ...

  4. 静态库(.a)与动态库(.so)的简明介绍

    静态库(.a)与动态库(.so)的简明介绍 gcc有很多关于静态库,动态库的选项如-l,-L,-fPIC,-shared -Wl,-soname,看着很复杂容易混淆,其实静态库和动态库都是应需而生,只 ...

  5. BearerToken之JWT的介绍

    Bearer认证 HTTP提供了一套标准的身份验证框架:服务器可以用来针对客户端的请求发送质询(challenge),客户端根据质询提供身份验证凭证.质询与应答的工作流程如下:服务器端向客户端返回40 ...

  6. JSON Web令牌(JWT)介绍与使用

    手机端接口开发会遇到一个问题是,接口登录后需要返回一个Token.token首先有一点必须唯一,每次请求都需要把token给带上.基于必须唯一的特性,很多朋友在开发是都选择了uuid.是不是token ...

  7. Spark中常用工具类Utils的简明介绍

    <深入理解Spark:核心思想与源码分析>一书前言的内容请看链接<深入理解SPARK:核心思想与源码分析>一书正式出版上市 <深入理解Spark:核心思想与源码分析> ...

  8. java的LINQ :Linq4j简明介绍

    开发JAVA一段时间,面临的一大问题就是集合操作,习惯了LINQ的简洁语法,对JAVA的集合操作实在是无甚好感,只能通过C系的循环实现筛选等操作,由于没有延迟执行特性,内存占用实在不敢恭维.因此便在网 ...

  9. Eclipse安装SVN插件方式简明介绍

    一.Links安装: 推荐使用此种安装方式,因为它便于插件的管理. 在eclipse根目录下新建文件夹links,这样就得到了eclipse\links 在eclipse\links下新建一个link ...

随机推荐

  1. 2.php语言基础

    HP简介 PHP超文本预处理器.是嵌入HTML文件中的服务器端脚本程序.换句话:PHP只能运行在服务器上. 一个HTML文件中,可以包含的代码:HTML代码.CSS代码.JS代码.PHP代码等. PH ...

  2. Hibernate自动执行更新方法

    问题场景:在执行查询时,没有对对象A调用save或者update操作,控制台显示却执行过一次update 问题原因:在执行查询之前 对A中的某一个关联对象 one-one one-many 等 字段 ...

  3. 在linux中部署项目并创建shell脚本

    1.首先要在idea中父工程maven包下执行clean生成的target包 2.执行package打包,打包时候讲test勾去掉 3.将target包中生成的jar包cp出来 此处注意打包时必须要保 ...

  4. React预备知识点

    1.react中的状态提升 react的状态提升就是用户对子组件操作,子组件不改变自己的状态,而是通过自己的props把操作改变的数据传递给父组件,改变父组件的状态,从而改变受父组件控制的所有子组件的 ...

  5. 纯数据结构Java实现(1/11)(动态数组)

    我怕说这部分内容太简单后,突然蹦出来一个大佬把我虐到哭,还是悠着点,踏实写 大致内容有: 增删改查,泛型支持,扩容支持,复杂度分析.(铺垫: Java语言中的数组) 基础铺垫 其实没啥好介绍的,顺序存 ...

  6. JMeter使用JSON Extractor插件实现将一个接口的JSON返回值作为下一个接口的入参

    ##补充## 接口响应数据,一般为JSON,HTML格式的数据. 对于HTML的响应结果提取,可以使用正则表达式,也可以通过XPath来提取:对于JSON格式的数据,可以用正则表达式,JSON Ext ...

  7. TCP与UDP的主要特点

    UDP主要特点: (1)UDP是无连接的,即发送数据之前不需要建立连接(当然,发送数据结束时也没有连接可以释放),因此减少了开销和发送数据之前的时延. (2)UDP使用尽最大努力交付,即不保证可靠交付 ...

  8. C#高级语法之泛型、泛型约束,类型安全、逆变和协变(思想原理)

    一.为什么使用泛型? 泛型其实就是一个不确定的类型,可以用在类和方法上,泛型在声明期间没有明确的定义类型,编译完成之后会生成一个占位符,只有在调用者调用时,传入指定的类型,才会用确切的类型将占位符替换 ...

  9. vue项目中引入Sass

    Sass作为目前成熟,稳定,强大的css扩展语言,让越来越多的前端工程师喜欢上它.下面介绍了如何在vue项目 中引入Sass. 首先在项目文件夹执行命令 npm install vue-cli -g, ...

  10. Docker学习总结(四)--应用部署

    MySQL部署 1) 拉取 mysql 镜像 docker pull centos/mysql:5.7 2) 创建容器 docker run -di --name=mysql -p 33306:330 ...