令牌组成
- 标头(Header)
- 有效载荷(Payload)
- 签名(Signature)
因此,JWT通常如下所示:xxxxx.yyyyy.zzzzz ----> Header.Payload.Signature
未编码的JWT:
编码后的JWT:
Header
标头通常由两部分组成:令牌的类型(即JWT)和所使用的签名算法。例如HS456或RSA。它会使用Base64编码组成JWT结构的第一部分。
注意:Base64是一种编码。也就是说,它是可以被翻译回原来的样子来的。它并不是一种加密过程。
{
"alg": "HS256",
"typ": "JWT"
}
Payload
令牌的第二部分是有效负载,其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。同样的,它会使用Base64编码组成JWT结构的第二部分。
注意:因为Payload如果被人恶意拦截可以逆向解码获得信息,所以不建议在Payload中放入敏感信息。
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
Signature
前面两部分都是使用Base64进行编码的,即前端可以解开知道里面的信息。Signature需要使用编码后的 Header和Payload以及服务器提供的一个密钥,然后使用header中指定的签名算法(HS256)进行签名。签名的作用是保证JWT没有被篡改过。
例如HS256算法:HMACSHA256(base64Ur1Encode(header) + "." + base64Ur1Encode(payload) , secret)
签名目的:
最后一步签名的过程,实际上是对头部以及负载内容进行签名,防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改再进行编码,最后加上之前的签名组合形成新的JWT的话,那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名,在不知道服务器加密时用的密钥的话,得出来的签名也是不一样的。
信息安全问题
在这里大家一定会问一个问题:Base64是一种编码,是可逆的,那么我的信息不就被暴露了吗?
是的。所以,在JWT中,不应该在负载里面加入任何敏感的数据。在上面的例子中,我们传输的是用户的User ID。这个值实际上不是什么敏感内容,一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中,那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统,甚至实现Web应用的单点登录。
