JWT是json web token縮寫
它將用戶信息加密到token里,服務(wù)器不保存任何用戶信息;服務(wù)器通過使用保存的密鑰驗證token的正確性,只要正確即通過驗證;基于token的身份驗證可以替代傳統(tǒng)的cookie、session身份驗證方法。
JWT優(yōu)點(diǎn):
- 服務(wù)端不需要保存?zhèn)鹘y(tǒng)會話信息,沒有跨域傳輸問題,減小服務(wù)器開銷
- jwt構(gòu)成簡單,占用很少的字節(jié),便于傳輸
- json格式通用,不同語言之間都可以使用
JWT由三部分組成:
- 頭部(header)alg字段指定了生成signature的算法,默認(rèn)值為HS256,typ默認(rèn)值為JWT:
{
"alg": "HS256",
"typ": "JWT"
}
- 載荷(payload)包含一些定義信息和自定義信息(sub 面向的用戶,name 姓名 ,iat 簽發(fā)時間):
{
"sub": "abcdefg",
"name": "wuji",
"iat": 17520496732
}
- 簽證(signature)對header和payload進(jìn)行base64UrlEncode編碼后進(jìn)行拼接。通過key(這里是345678)進(jìn)行HS256算法簽名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
345678
)
用戶登錄鑒權(quán)流程:
- 初次登錄:用戶使用用戶名密碼來請求服務(wù)器
- 密碼驗證:服務(wù)器從數(shù)據(jù)庫取出用戶名和密碼進(jìn)行驗證
- 生成與返還JWT:服務(wù)器通過驗證,根據(jù)從數(shù)據(jù)庫返回的信息,以及預(yù)設(shè)規(guī)則,生成JWT,發(fā)送給用戶一個token
- 帶JWT的請求:客戶端存儲token,并在每次請求時附送上這個令牌值
- 服務(wù)端驗證token,并返回數(shù)據(jù)
流程:
- 提交登錄表單,發(fā)送用戶名和密碼到后端
- 初始化驗證成功后,會發(fā)送一個令牌給前端
- 前端再拿這個令牌去請求需要用戶權(quán)限訪問
- 后端驗證token,鑒權(quán),返回相應(yīng)數(shù)據(jù)(結(jié)果)
