简单认识JWT

1. 什么是JWT？

JSON Web Token（JSON Web令牌）

是一个开放标准(rfc7519)，它定义了一种紧凑的、自包含的方式，用于在各方之间以JSON对象安全地传输信息。此信息可以验证和信任，因为它是数字签名的。jwt可以使用秘钥〈使用HNAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

1.1JWT优点

• 简洁(Compact)：可以通过URL，POST参数或者在HTTP header发送，数据量小，传输速度也很快；
• 自包含(Self-contained)：负载中包含了所有用户所需要的信息，避免了多次查询数据库；
• Token是以JSON加密的形式保存在客户端，所以JWT是跨语言的，原则上任何web形式都支持。
• 不需要在服务端保存会话信息，特别适用于分布式微服务。

1.2JWT缺点

• 无状态，token一经发布则无法取消无解… …

  因为token信息只保存在客户端，服务端只保存私钥负责解密，如果 token泄露，那么服务端没有办法，只能等待token时间过期

• 明文传递，Token安全性低

  使用https可以解决

2. JWT认证流程

认证流程

• 前端通过Web表单将自己的用户名和密码发送到后端的接口。该过程一般是HTTP的POST请求。因为JWT是明文传输，建议的方式是通过SSL加密的传输(https协议)，从而避免敏感信息被嗅探。
• 后端核对用户名和密码成功后，将用户的id等其他信息作为JWTPayload(负载)，将其与头部Header分别进行Base64编码，Signature 尾部使用服务端用户自定义的私钥加密，三者拼接后签名，形成一个JWT(Token)。
• 后端将JWT字符串作为登录成功的返回结果返回给前端。前端可以将返回的结果保存在localStorage（浏览器本地缓存）或sessionStorage（session缓存）上，退出登录时前端删除保存的JWT即可。
• 前端在每次请求时将JWT放入HTTP的Header中的Authorization位。(解决XSS和XSRF问题）HEADER
• 后端检查是否存在，如存在验证JWT的有效性。例如，检查签名是否正确﹔检查Token是否过期;检查Token的接收方是否是自己(可选）
• ·验证通过后后端使用JWT中包含的用户信息进行其他逻辑操作，返回相应结果。

JWT结构

就是令牌token，是一个String字符串，由3部分组成，中间用点隔开

令牌组成：
标头（Header）
有效载荷（Payload）
签名（Signature）
token格式：head.payload.singurater 如：xxxxx.yyyy.zzzz

• Header：有令牌的类型和所使用的签名算法，如HMAC、SHA256、RSA；使用Base64编码组成；（Base64是一种编码，不是一种加密过程，可以被翻译成原来的样子）

{
	"alg" : "HS256",
	"type" : "JWT"
}

• Payload ：有效负载，包含声明；声明是有关实体（通常是用户）和其他数据的声明，不放用户敏感的信息，如密码。同样使用Base64编码

{
	"sub" : "123",
	"name" : "John Do",
	"admin" : true
}

• Signature
  ：前面两部分都使用Base64进行编码，前端可以解开知道里面的信息。Signature需要使用编码后的header和payload
  加上我们提供的一个密钥，使用header中指定的签名算法(HS256)进行签名。签名的作用是保证JWT没有被篡改过

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret);

签名目的：签名的过程实际上是对头部以及负载内容进行签名，防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务器加密时用的密钥的话，得出来的签名也是不一样的。

信息安全问题：Base64是一种编码，是可逆的，适合传递一些非敏感信息；JWT中不应该在负载中加入敏感的数据。如传输用户的ID被知道也是安全的，如密码不能放在JWT中；JWT常用于设计用户认证、授权系统、web的单点登录。