![[可怜]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_5.ece2a96.png)
JSON Web Token(JWT)是一种用于在网络应用之间传递信息的开放标准(RFC 7519)。JWT被设计为紧凑且自包含的方式,可用于在用户和服务器之间安全地传递声明(Claims)。这些声明可以用于验证用户身份、传递权限信息和其他信息。
一个JWT通常由三个部分组成,用点号(.)分隔开:
Header(头部): 头部通常由两部分组成:令牌的类型(JWT)和所使用的签名算法,如HMAC SHA256或RSA。例如:
json
{
"alg": "HS256",
"typ": "JWT"
}
Payload(载荷): 载荷包含所谓的“声明”,这些声明是关于实体(通常是用户)和其他数据的声明。有三种类型的声明:注册声明、公共声明和私有声明。例如:
json
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
Signature(签名): 为了创建签名部分,你需要使用编码后的头部、编码后的载荷和一个密钥。签名用于验证发送方是否是该令牌的真实来源,以及令牌在传输过程中是否被篡改。
使用JWT的常见场景包括用户身份验证、单点登录(SSO)、API访问控制等。
在使用JWT时,通常的步骤包括:
创建Claims,添加所需的信息,例如用户ID、角色等。
使用密钥签署JWT,生成一个令牌。
将令牌发送给客户端,客户端可以在后续请求中将令牌包含在请求头或其他位置。
服务器接收到令牌后,验证签名以及声明的有效性。
根据验证结果,处理用户请求。
一个JWT通常由三个部分组成,用点号(.)分隔开:
Header(头部): 头部通常由两部分组成:令牌的类型(JWT)和所使用的签名算法,如HMAC SHA256或RSA。例如:
json
{
"alg": "HS256",
"typ": "JWT"
}
Payload(载荷): 载荷包含所谓的“声明”,这些声明是关于实体(通常是用户)和其他数据的声明。有三种类型的声明:注册声明、公共声明和私有声明。例如:
json
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
Signature(签名): 为了创建签名部分,你需要使用编码后的头部、编码后的载荷和一个密钥。签名用于验证发送方是否是该令牌的真实来源,以及令牌在传输过程中是否被篡改。
使用JWT的常见场景包括用户身份验证、单点登录(SSO)、API访问控制等。
在使用JWT时,通常的步骤包括:
创建Claims,添加所需的信息,例如用户ID、角色等。
使用密钥签署JWT,生成一个令牌。
将令牌发送给客户端,客户端可以在后续请求中将令牌包含在请求头或其他位置。
服务器接收到令牌后,验证签名以及声明的有效性。
根据验证结果,处理用户请求。
展开
评论
点赞
![[疑问]](http://lf-web-assets.juejin.cn/obj/juejin-web/xitu_juejin_web/img/jj_emoji_31.606e7a5.png)