1、JWT描述
Jwt token由Header、Payload、Signature三部分组成,这三部分之间以小数点”.”连接,JWT token长这样:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU
token解析后长这样:
header部分,有令牌的类型(JWT)和签名算法名称(HS256):
{
"alg": "HS256",
"typ": "JWT"
}
Payload部分,有效负载,这部分可以放任何你想放的数据:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
Signature签名部分,由于这部分是使用header和payload部分计算的,所以还可以以此来验证payload部分有没有被篡改:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
123456 //这里是密钥,只要够复杂,一般不会被破解
)
2、JWT适用场景描述
JWT最常见的使用场景为授权。一旦用户登录,随后的每个请求都将包含jwt的token令牌,才可允许用户访问路由API、服务、资源。比如单点登录场景,因为它的开销很小,而且可以很容易地跨不同领域使用。所以jwt也适用于客户端存储用户状态信息。
3、安全漏洞方面
虽然在安全漏洞方面,JWT官网给出了警告:JSON Web令牌库中具有非对称密钥的关键漏洞。但是官网给出的对称型加密算法解决方案已经足够满足于通常情况下的客户端用户状态的存储。