介紹JWT

在本文中，將解釋JSON Web Tokens（JWT）的基本原理，以及為什么使用它們。 JWT是確保應用程序中的信任和安全性的重要部分。 JWT允許以安全的方式表示諸如用戶數據的聲明。
為了解釋JWT如何工作，讓我們從JWT的抽象定義（RFC 7519）開始。

JSON Web Token (JWT) is a compact, URL-safe means of representing
claims to be transferred between two parties. The claims in a JWT
are encoded as a JSON object that is used as the payload of a JSON
Web Signature (JWS) structure or as the plaintext of a JSON Web
Encryption (JWE) structure, enabling the claims to be digitally
signed or integrity protected with a Message Authentication Code
(MAC) and/or encrypted.

一個令牌就像這樣：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
令牌中包含了三個部分：
** header.claims.signature** (也有寫成 ** header.payload.signature**的，意思是一樣的。）

Json Web Token

Header

header 部分是一個簡單的聲明對象，這個聲明包括 signature 使用的算法.
{
"alg" : "AES256",
"typ" : "JWT"
}

Claims

Cliams 也有稱之為Payloads，是存放有效信息的地方。這個部分包含了業(yè)務中的所有的信息，用戶可以任意自定義，但是要避免過于復雜或者太多的Claims影響性能。
標準中注冊的聲明 (建議但不強制使用) ：

• iss: jwt簽發(fā)者
• sub: jwt所面向的用戶
• aud: 接收jwt的一方
• exp: jwt的過期時間，這個過期時間必須要大于簽發(fā)時間
• nbf: 定義在什么時間之前，該jwt都是不可用的.
• iat: jwt的簽發(fā)時間
• jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避重放攻擊。

我們看看下面的示例：

{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}

Signature

Header和Claims使用的是base64編碼，任何一個人都可以使用工具進行 編碼 和 解碼，所以，在設計JWT時，不應該在Cliams（聲明）里面加入任何敏感的數據，如用戶密碼之類。
Signature 的主要目的是保護 Header 和 Claims 部分不能被篡改，一般的做法就是使用 hash 算法生成一個簽名。這個只要保證服務器端的私有 key 是一致的，且不被泄露，就能保證這個 Claims 部分的信息是可信的。如下圖部分，API Server通過檢查JWT，即可以驗證Token的真?zhèn)危瑹o需再與Auth Server進行通信驗證。

OAuth

JWT 的適用范圍和優(yōu)點

JWT 非常適用于分布式的無狀態(tài) API 服務器鑒權。
優(yōu)點：

• 開發(fā)簡單
• 不需要 cookie
• 使用了對移動端友好的 JSON 格式
• 不依賴于登陸服務器
• 概念簡單容易理解