JWT简介
JSON Web Token (JWT,RFC 7519),是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准((RFC 7519)。该 token 被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该 token 也可直接被用于认证,也可被加密。
认证流程
- 用户使用账号(手机/邮箱/用户名)密码请求服务器
- 服务器验证用户账号是否和数据库匹配
- 服务器通过验证后发送给客户端一个 JWT Token
- 客户端存储 Token,并在每次请求时携带该 Token
- 服务端验证 Token 值,并根据 Token 合法性返回对应资源
什么是Access Token
Access Token 用于基于 Token 的认证模式,允许应用访问一个资源 API。用户认证授权成功后,会签发 Access Token 给应用。应用需要携带 Access Token 访问资源 API,资源服务 API 会通过拦截器查验 Access Token,从而决定是否返回资源。
如果你的用户通过社交账号登录,例如微信登录,微信作为身份提供商会颁发自己的 Access Token,你的应用可以利用 Access Token 调用微信相关的 API。这些 Access Token 是由社交账号服务方控制的,格式也是任意的。
什么是 Refresh Token
Access Token 是 JWT,有效时间通常较短。通常用户在获取资源的时候需要携带 Access Token,当 Access Token 过期后,用户需要获取一个新的 Access Token。Refresh Token 用于获取新的 Access Token。这样可以缩短 Access Token 的过期时间保证安全,同时又不会因为频繁过期重新要求用户登录。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
