JSON Web Token

最新推荐文章于 2025-07-22 23:30:44 发布

转载最新推荐文章于 2025-07-22 23:30:44 发布 · 77 阅读

本文深入解析JWT(JSON Web Token)的工作原理及其在跨域认证中的应用。JWT作为一种无状态的认证机制，通过在客户端保存所有认证数据，实现了服务器的扩展性和高可用性。文章详细介绍了JWT的组成部分：Header、Payload和Signature，并解释了JWT如何在客户端和服务端间安全地传输用户信息。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

转自阮一峰的网络日志 http://www.ruanyifeng.com/blog/2018/07/json_web_token-tutorial.html

一、跨域认证的问题
互联网服务的用户认证，一般是这样。
1、用户向服务器发送用户名和密码
2、服务器验证通过后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等等。
3、服务器向用户返回一个session_id，写入用户的Cookie。
4、用户随后的每一次请求，都会通过Cookie，将session_id传回服务器。
5、服务器收到session_id，找到前期保存的数据，由此得知用户的身份。
这种模式的问题在于，扩展性不好。单机当然没有问题，如果是服务器集群，或者是跨域的服务导向架构，就要求session数据共享，每台服务器都能够读取session.
举例来说，A网站和B网站是同一家公司的关联服务。现在要求，用户只要在其中一个网站登录，再访问另一个网站就会自动登录，请问怎么实现？
一种解决方案是session数据持久化，写入数据库或别的持久层。各种服务收到请求后，都向持久层请求数据。这种方案的优点是架构清晰，缺点是工程量比较大。另外，持久层万一挂了，就会单点失败。
另一种方案是服务器索性不保存session数据了，所有数据都保存在客户端，每次请求都发回服务器。JWT就是这种方案的一个代表。
二、JWT的原理
JWT的原理是，服务器认证后，生成一个JSON对象，发给用户，就像下面这样。
{
"姓名"："张三"，
"角色": "管理员"，
"到期时间":"2018年9月1日5点20分"
}
以后，用户与服务端通信的时候，都要发回这个json对象。服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名。
服务器就不保存任何session数据了，也就是说，服务器变成无状态了，从而比较容易实现扩展。
三、JWT的数据结构
实际的JWT是一个很长的字符串，中间用（.）分隔成三个部分。注意，JWT内部是没有换行的，这里只是为了便于展示，将它写成了几行。
JWT的三个部分依次如下。
Header (头部)
Payload (负载)
Signature（签名）
写成一行，就是这个样子。Header.Payload.Signature
3.1Header 部分是一个json对象，描述JWT的元数据，通常是下面的样子。
{
"alg":"HS256",
"typ":"JWT"
}
上面代码中，alg属性表示签名的算法默认是HMAC SHA256（写成HS256）;
typ属性表示这个令牌(token)的类型，JWT令牌统一写为JWT。
最后，将上面的json对象使用base64URL算法转成字符串。
3.2Payload
Payload 部分也是一个json对象，用来存放实际需要传递的数据。JWT规定了7个官方字段，供选用。
iss (issuer):签发人
exp (expiration time):过期时间
sub (subject):主题
aud (audience):受众
nbf (Not Before):生效时间
iat (Issued At):签发时间
jti (JWT ID):编号
除了官方字段，你还可以在这个部分定义私有字段，下面就是一个例子。
{
"sub":"1234567890",
"name":"John",
"admin":"true"
}
注意，JWT默认是不加密的，任何人都可以读到，所以不要把私密信息放在这个部分。
这个JSON对象也要使用base64URL算法转成字符串。
3.3 Signature
Signature部分是对前两部分的签名，防止数据篡改。
首先，需要指定一个秘钥。这个秘钥只有服务器才知道，不能泄露给用户。然后，使用Header里面指定的签名算法(默认是HMAC SHA256),按照下面的公式产生签名。
HMACSH256（
base64URLEncode(header) + "." +
base64URLEncode(payload),
secret
）
算出签名以后，把Header、Payload、Signature三个部分拼成一个字符串，每个部分之间用"."分隔，就可以返回给用户。
四、JWT的使用方式
客户端收到服务器返回的JWT，可以存储在Cookie里面，也可以存储在localStorage.
此后，客户端每次与服务器通信，都要带上这个JWT。你可以把它放在Cookie里面自动发送，但是这样不能跨域，所以更好的做法是放在HTTP请求的头信息Authorization字段里面。
Authorization：Beader<token>
五、JWT的几个特点
（1）JWT默认是不加密，但也是可以加密的。生成原始Token以后，可以用秘钥再加密一次。
（2）JWT不加密的情况下，不能将秘密数据写入JWT。
（3）JWT不仅可以用于认证，也可以用于交换信息。有效使用JWT，可以降低服务器查询数据库的次数。
（4）JWT的最大缺点是，由于服务器不保存session状态，因此无法在使用过程中废止某个TOKEN，或者更改token的全限。也就是说，一旦JWT签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。
（5）JWT本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT的有效期应该设置的比较短。对于一些重要的权限，使用时应该再次对用户进行认证。
（6）为了减少盗用，JWT不应该使用HTTP协议明码传输，要使用HTTPS协议传输。