JWT，Json web token。因為在項目中準備應用，總結下，理清思路，希望對團隊有幫助。除簡介外，都融合了我個人的理解，不希望對別人產生誤導。網絡讓自媒體很容易，一定加以分析，全盤照收是很危險的；即使是讀書，也要分析，盡信書不如無書。

簡介

參考《jwt簡介》，我認為很基礎，原文翻譯，比較客觀，就不重復了。

JWT應用場景？

簡介中提到兩個場景，我認為主要第一種--身份認證。為什么采用這種方式呢？我總結了下

1、json格式簡單，相比xml，我更喜歡json；Self-contained，一般都翻譯成自包含，意思是jwt中已經有了你需要的全部信息，拿出來用就行。

2、同session相比，性能更好一些，省去了處理分布session的問題；對于大行其道的restful來講，支持得很好；瀏覽器+app+pc，這種多終端開發，是很好的選擇。

如果可以，新系統不再使用session保存用戶信息。對于我們自己的platina開發平臺，可以平滑過渡到jwet，讓開發人員感覺不到。

JWT有什么好處？

1、支持跨域訪問: Cookie是不允許垮域訪問的，這一點對Token機制是不存在的，前提是傳輸的用戶認證信息通過HTTP頭傳輸.

2、無狀態(也稱：服務端可擴展行):Token機制在服務端不需要存儲session信息，因為Token 自身包含了所有登錄用戶的信息，只需要在客戶端的cookie或本地介質存儲狀態信息.

4、更適用CDN: 可以通過內容分發網絡請求你服務端的所有資料（如：javascript，HTML,圖片等），而你的服務端只要提供API即可.

5、去耦: 不需要綁定到一個特定的身份驗證方案。Token可以在任何地方生成，只要在你的API被調用的時候，你可以進行Token生成調用即可.

6、更適用于移動應用: 當你的客戶端是一個原生平臺（iOS, Android，Windows 8等）時，Cookie是不被支持的（你需要通過Cookie容器進行處理），這時采用Token認證機制就會簡單得多。

7、CSRF:因為不再依賴于Cookie，所以你就不需要考慮對CSRF（跨站請求偽造）的防范。

8、性能: 一次網絡往返時間（通過數據庫查詢session信息）總比做一次HMACSHA256計算 的Token驗證和解析要費時得多.

9、不需要為登錄頁面做特殊處理: 如果你使用Protractor 做功能測試的時候，不再需要為登錄頁面做特殊處理.

10、基于標準化:你的API可以采用標準化的 JSON Web Token (JWT). 這個標準已經存在多個后端庫（.NET, Ruby, Java,Python, PHP）和多家公司的支持（如：Firebase,Google, Microsoft）.

流程

1、用戶認證。認證方式可能很多，自己認證或者sso。

2、認證后，服務器構造JWT。

3、把JWT返回客戶端，客戶端存儲。

4、客戶端訪問服務器，帶上JWT。

5、服務器端判斷JWT是否正確并且沒有超時，正常，向下流轉；否則，轉到授權。

服務器端

服務器端主要有2件事，我結合java說明下，j wt.io上介紹了幾個java類庫，根據個人喜好選擇。之前使用一個sso，用Nimbus，也支持jwt，但是他卻依賴net.minidev.json.JSONObject，就放棄了；后來采用jjwt，依賴jackson。

1、生成jwt

1.1、生成jwt的時機，認證之后，返回認證結果之前。

1.2、Payload（很多翻譯是直譯，對于理解沒有任何幫助）中如何設計屬性，這個對于可讀性比較重要。

根據JWT的標準，這些claims可以分為以下三種類型：

a. Reserved claims（保留），它的含義就像是編程語言的保留字一樣，屬于JWT標準里面規定的一些claim。JWT標準里面定好的claim有：

iss(Issuser)：代表這個JWT的簽發主體；

sub(Subject)：代表這個JWT的主體，即它的所有人；

aud(Audience)：代表這個JWT的接收對象；

exp(Expiration time)：是一個時間戳，代表這個JWT的過期時間；

nbf(Not Before)：是一個時間戳，代表這個JWT生效的開始時間，意味著在這個時間之前驗證JWT是會失敗的；

iat(Issued at)：是一個時間戳，代表這個JWT的簽發時間；

jti(JWT ID)：是JWT的唯一標識。

b. Public claims，略（不重要）

c. Private claims，這個指的就是自定義的claim。比如前面那個結構舉例中的admin和name都屬于自定的claim。這些claim跟JWT標準規定的claim區別在于：JWT規定的claim，JWT的接收方在拿到JWT之后，都知道怎么對這些標準的claim進行驗證；而private claims不會驗證，除非明確告訴接收方要對這些claim進行驗證以及規則才行。

1.3、生成jwt的代碼

SecretKeySpec key = getKey();//getKey自己處理

Map claims = new HashMap();

claims.put("uid", userInfo.getAccountId()+"");

claims.put("user_name", userInfo.getUserName());

claims.put("nick_name",userInfo.getUserAttribute(PlatinaUser.NICK_NAME));

JwtBuilder builder = Jwts.builder()

.setClaims(claims)----一定先于下面的set方法，否則覆蓋。

.setIssuer("bmtech.com")

.setSubject(userInfo.getUserNum())

.setNotBefore(now)

.signWith(signatureAlgorithm, key);

return builder.compact();

2、處理jwt

Jwtjwt = Jwts.parser().setSigningKey(getKey()).parse(token);

Claims claims =? jwt.getBody();

客戶端

jwt存儲方式自己靈活掌握。

web：cookie／localStorage／sessionStorage／；

app：內存

安全

JWT是否安全？

既然jwt被很多大型公司采用，安全性一定是有保證的。

要保證私鑰的安全性，來保障簽名的安全。

有人提到jwt暴露簽名算法（alg），而且會有None（無簽名），所以建議隱去alg。一般的協議制定都會考慮擴展性和普適性。但是我們在應用中可以采用我們默認的算法，而不是根據alg去處理。

常見安全問題及處理？

1、XSS（Cross Site Script）

把token存儲在cookie中，同時設置httpOnly。

2、CSRF（cross-site request forgery）

2.1、判斷reffer。系統改動最小，通過filter就可以完成。

2.2、在參數中傳token。

2.3、通過header傳遞token。（推薦）