Json web token 详解(一)

「爱情、让人受尽委屈。」 2022-06-10 01:07 192阅读 0赞

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

如下所示一个加密后jwt信息：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

是由.分割的三部分组成，分别为Header、Payload、Signature。

一个JWT实际上就是一个字符串，它由三部分组成，Header(头部)、Payload(载荷)与Signature(签名)。

**header**  
头部用于描述关于该JWT的两部分信息：

*   typ 声明类型，这里固定是JWT
 *   alg 声明加密的算法 ,可选值为HS256、RSA等

完整的头部就像下面这样的JSON：

{
      "typ": "JWT",
      "alg": "HS256"
    }

然后将头部进行base64加密（该加密是可以对称解密的),构成了第一部分

eyJ0eXBlIjoiSldUIiwiYWxnIjoiSFMyNTYifQ

**Payload**  
载荷是指签名信息以及内容，大致分为标准中注册的声明;公共的声明;私有的声明，详细介绍请参考官网。

标准中注册的声明 (建议但不强制使用) ：

*  iss: jwt签发者
 *  sub: jwt所面向的用户
 *  aud: 接收jwt的一方
 *  exp: jwt的过期时间，这个过期时间必须要大于签发时间
 *  nbf: 定义在什么时间之前，该jwt都是不可用的.
 *  iat: jwt的签发时间
 *  jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

公共的声明 ：  
公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

私有的声明 ：  
私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

定义一个payload:

{
      "sub": "1234567890",
      "name": "John Doe",
      "admin": true
    }

将其进行base64加密，得到JWT的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwgIm5hbWUiOiJKb2huIERvZSIsImFkbWluIjp0cnVlfQ

### signature ###

这个签证信息由三部分组成：

*  header (base64后的)
 *  payload (base64后的)
 *  secret

这个部分需要base64加密后的header和base64加密后的payload使用`.`连接组成的字符串，然后通过header中声明的加密方式进行加盐`secret`组合加密，然后就构成了jwt的第三部分。

(1)将上面的两个编码后的字符串都用点.连接在一起（头部在前），就形成了:

eyJ0eXBlIjoiSldUIiwiYWxnIjoiSFMyNTYifQ.eyJzdWIiOiIxMjM0NTY3ODkwIiwgIm5hbWUiOiJKb2huIERvZSIsImFkbWluIjp0cnVlfQ