jwt是目前流行的跨域认证解决方案,其原理是将用户信息通过加密生成token,每次请求服务端只需要使用保存的密钥验证token的正确性,进而不用再保存任何session数据,使服务端变得无状态。
jwt验证方式是将用户信息通过加密生成token,每次请求服务端只需要使用保存的密钥验证token的正确性,不用再保存任何session数据了,进而服务端变得无状态,容易实现拓展。
加密前的用户信息,如:
{ "username": "vist", "role": "admin", "expire": "2018-12-08 20:20:20"}登录后复制客户端收到的token:
7cd357af816b907f2cc9acbe9c3b4625登录后复制
JWT 结构
一个token分为3部分:
头部(header)
载荷(payload)
签名(signature)
3个部分用“.”分隔,如:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c登录后复制
头部
JWT的头部分是一个JSON对象,描述元数据,通常是:
{ "typ": "JWT", "alg": "HS256"}登录后复制typ 为声明类型,指定 "JWT"
alg 为加密的算法,默认是 "HS256"
载荷
载荷(payload)是数据的载体,用来存放实际需要传递的数据信息,也是一个JSON对象。
JWT官方推荐字段:
iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间,这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前,该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识,主要用来作为一次性token,从而回避重放攻击。
也可以使用自定义字段,如:
{ "username": "vist", "role": "admin"}登录后复制签名
签名部分是对前两部分(头部,载荷)的签名,防止数据篡改。
按下列步骤生成:
1、先指定密钥(secret)
2、把头部(header)和载荷(payload)信息分别base64转换
3、使用头部(header)指定的算法加密
最终,签名(signature) = HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
客户端得到的签名:
header.payload.signature登录后复制
也可以对JWT进行再加密。
推荐教程:《PHP》
以上就是JWT 是干什么?的详细内容,更多请关注易企推科技其它相关文章!
本文地址:网络知识频道 https://www.hkm168.com/jiqiao/1151277.html,易企推百科一个免费的知识分享平台,本站部分文章来网络分享,本着互联网分享的精神,如有涉及到您的权益,请联系我们删除,谢谢!
相关阅读
