携手创作，共同成长！这是我参与「掘金日新计划 · 8 月更文挑战」的第22天，点击查看活动详情

JWT笔记

1. JWT是什么

JWT全称为JSON Web Token是一个开放标准 （RFC 7519),它定义了一种紧凑的，自包含的方式，用于作为JSON对象在各方之间安全地传输信息，该信息可以被验证和信任，因为他是数字签名的

2. 什么时候用JWT

Authorization (授权) : 这是使用JWT的最常见场景。一旦用户登录，后续每个请求都将包含JWT，允许用户访问该令牌允许的路由、服务和资源。单点登录是现在广泛使用的JWT的一个特性，因为它的开销很小，并且可以轻松地跨域使用。 Information Exchange (信息交换) : 对于安全的在各方之间传输信息而言，JSON Web Tokens无疑是一种很好的方式。因为JWTs可以被签名，例如，用公钥/私钥对，你可以确定发送人就是它们所说的那个人。另外，由于签名是使用头和有效负载计算的，您还可以验证内容没有被篡改。

3. JSON Web Token的结构是什么样的

jwt由三部分组成，他们之间用圆点(.)连接，这三部分分别是

Header payload signature

举一个例子 JWT xxxxx.yyyyy.zzzzz

Header header典型由两部分组成： token的类型（“JWT”）和算法名称（比如：HMAC SHA256或者RSA等等）。 用Base64对这个JSON编码就得到JWT的第一部分

Payload 它包含声明（要求）。声明是关于实体(通常是用户)和其他数据的声明。声明有三种类型: registered, public 和 private。

Registered claims : 这里有一组预定义的声明，它们不是强制的，但是推荐。比如：iss (issuer), exp (expiration time), sub (subject), aud (audience)等。
Public claims : 可以随意定义。
Private claims : 用于在同意使用它们的各方之间共享信息，并且不是注册的或公开的声明。
对payload进行Base64编码就得到JWT的第二部分

Signature 重要信息不要放在JWT中的payload或header中。除非他们是加密的 为了得到签名部分，你必须有编码过的header、编码过的payload、一个秘钥，签名算法是header中指定的那个，然对它们签名即可。

例如：

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

签名是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方是否为它所称的发送方。