2017.3.24 - JWT #14

stephenLYZ · 2017-03-26T13:51:49Z

JWT介绍

JSON Web Token（JWT）是一个开放的标准（RFC 7519），该标准定义了一个在两者之间安全的使用 JSON 对象传递信息的方式。可以在以下场景中使用：

登录验证。一旦用户登录之后，每个后续的请求将包含 JWT，通过这个令牌允许用户访问路由、服务和资源。单点登录就是一个例子
信息交流。JSON Web Token 是在不同部分传递信息的好方法，因为它们可以被签署，例如使用 public/private key，可以确定的是发送者是谁。

JWT的组成：

由两部分构成： token的type，以及加密的算法：

{
  "alg": "HS256",
  "typ": "JWT"
}

包含三种类型的claims: reserved，public，private.

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

需要提供header编码, payload编码, 密匙, 加密算法:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

一个JWT一般长这样: xxx.yyy.zzz.

下图显示了JWT是如何工作的：

The text was updated successfully, but these errors were encountered: