JWT(Json Web Token)原理

JWT是json web token縮寫

它將用戶信息加密到token里,服務(wù)器不保存任何用戶信息;服務(wù)器通過使用保存的密鑰驗證token的正確性,只要正確即通過驗證;基于token的身份驗證可以替代傳統(tǒng)的cookie、session身份驗證方法。

JWT優(yōu)點(diǎn):

  1. 服務(wù)端不需要保存?zhèn)鹘y(tǒng)會話信息,沒有跨域傳輸問題,減小服務(wù)器開銷
  2. jwt構(gòu)成簡單,占用很少的字節(jié),便于傳輸
  3. json格式通用,不同語言之間都可以使用

JWT由三部分組成:

  1. 頭部(header)alg字段指定了生成signature的算法,默認(rèn)值為HS256,typ默認(rèn)值為JWT:
{
"alg": "HS256",
  "typ": "JWT"
}
  1. 載荷(payload)包含一些定義信息和自定義信息(sub 面向的用戶,name 姓名 ,iat 簽發(fā)時間):
{
  "sub": "abcdefg",
  "name": "wuji",
  "iat": 17520496732
}
  1. 簽證(signature)對header和payload進(jìn)行base64UrlEncode編碼后進(jìn)行拼接。通過key(這里是345678)進(jìn)行HS256算法簽名:
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  345678
) 

用戶登錄鑒權(quán)流程:

  1. 初次登錄:用戶使用用戶名密碼來請求服務(wù)器
  2. 密碼驗證:服務(wù)器從數(shù)據(jù)庫取出用戶名和密碼進(jìn)行驗證
  3. 生成與返還JWT:服務(wù)器通過驗證,根據(jù)從數(shù)據(jù)庫返回的信息,以及預(yù)設(shè)規(guī)則,生成JWT,發(fā)送給用戶一個token
  4. 帶JWT的請求:客戶端存儲token,并在每次請求時附送上這個令牌值
  5. 服務(wù)端驗證token,并返回數(shù)據(jù)

流程:

  1. 提交登錄表單,發(fā)送用戶名和密碼到后端
  2. 初始化驗證成功后,會發(fā)送一個令牌給前端
  3. 前端再拿這個令牌去請求需要用戶權(quán)限訪問
  4. 后端驗證token,鑒權(quán),返回相應(yīng)數(shù)據(jù)(結(jié)果)
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
平臺聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡書系信息發(fā)布平臺,僅提供信息存儲服務(wù)。

推薦閱讀更多精彩內(nèi)容