JWT的定義及其組成

JWT的定義及其組成

JWT(JSON Web Token)是一個(gè)非常輕巧的規(guī)范垄惧。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。

一個(gè)JWT實(shí)際上就是一個(gè)字符串绰寞,它由三部分組成到逊,頭部、載荷與簽名滤钱。

載荷(Payload)

我們先將用戶認(rèn)證的操作描述成一個(gè)JSON對(duì)象觉壶。其中添加了一些其他的信息,幫助今后收到這個(gè)JWT的服務(wù)器理解這個(gè)JWT件缸。

{
    "sub": "1",
    "iss": "http://localhost:8000/auth/login",
    "iat": 1451888119,
    "exp": 1454516119,
    "nbf": 1451888119,
    "jti": "37c107e4609ddbcc9c096ea5ee76c667"
}

這里面的前6個(gè)字段都是由JWT的標(biāo)準(zhǔn)所定義的铜靶。

sub: 該JWT所面向的用戶
iss: 該JWT的簽發(fā)者
iat(issued at): 在什么時(shí)候簽發(fā)的token
exp(expires): token什么時(shí)候過(guò)期
nbf(not before):token在此時(shí)間之前不能被接收處理
jti:JWT ID為web token提供唯一標(biāo)識(shí)

這些定義都可以在標(biāo)準(zhǔn)中找到。

將上面的JSON對(duì)象進(jìn)行base64編碼可以得到下面的字符串:

eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvbG9jYWx
ob3N0OjgwMDFcL2F1dGhcL2xvZ2luIiwiaWF0IjoxNDUxODg4MTE5LCJleHAiOjE0NTQ1MTYxMTksIm5iZiI6MTQ1MTg4OD
ExOSwianRpIjoiMzdjMTA3ZTQ2MDlkZGJjYzljMDk2ZWE1ZWU3NmM2NjcifQ

這個(gè)字符串我們將它稱作JWT的Payload(載荷)他炊。

如果你使用Node.js争剿,可以用Node.js的包base64url來(lái)得到這個(gè)字符串:


var base64url = require('base64url')
var header = {
    "from_user": "B",
    "target_user": "A"
}

console.log(base64url(JSON.stringify(header)))

注:Base64是一種編碼,也就是說(shuō)痊末,它是可以被翻譯回原來(lái)的樣子來(lái)的蚕苇。它并不是一種加密過(guò)程。
頭部(Header)

JWT還需要一個(gè)頭部凿叠,頭部用于描述關(guān)于該JWT的最基本的信息涩笤,例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象:

{
  "typ": "JWT",
  "alg": "HS256"
}

在這里盒件,我們說(shuō)明了這是一個(gè)JWT蹬碧,并且我們所用的簽名算法(后面會(huì)提到)是HS256算法。

對(duì)它也要進(jìn)行Base64編碼炒刁,之后的字符串就成了JWT的Header(頭部):

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

簽名(簽名)

將上面的兩個(gè)編碼后的字符串都用句號(hào).連接在一起(頭部在前)恩沽,就形成了:

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvbG9jYWx
ob3N0OjgwMDFcL2F1dGhcL2xvZ2luIiwiaWF0IjoxNDUxODg4MTE5LCJleHAiOjE0NTQ1MTYxMTksIm5iZiI6MTQ1MTg4OD
ExOSwianRpIjoiMzdjMTA3ZTQ2MDlkZGJjYzljMDk2ZWE1ZWU3NmM2NjcifQ

最后,我們將上面拼接完的字符串用HS256算法進(jìn)行加密翔始。在加密的時(shí)候罗心,我們還需要提供一個(gè)密鑰(secret):

HMACSHA256(
    base64UrlEncode(header) + "." +
    base64UrlEncode(payload),
    secret
)

這樣就可以得到我們加密后的內(nèi)容:

wyoQ95RjAyQ2FF3aj8EvCSaUmeP0KUqcCJDENNfnaT4

這一部分又叫做簽名片吊。

最后將這一部分簽名也拼接在被簽名的字符串后面,我們就得到了完整的JWT:


eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxIiwiaXNzIjoiaHR0cDpcL1wvbG9jYWx
ob3N0OjgwMDFcL2F1dGhcL2xvZ2luIiwiaWF0IjoxNDUxODg4MTE5LCJleHAiOjE0NTQ1MTYxMTksIm5iZiI6MTQ1MTg4OD
ExOSwianRpIjoiMzdjMTA3ZTQ2MDlkZGJjYzljMDk2ZWE1ZWU3NmM2NjcifQ.wyoQ95RjAyQ2FF3aj8EvCSaUmeP0KUqcCJDENNfnaT4
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 序言:七十年代末协屡,一起剝皮案震驚了整個(gè)濱河市俏脊,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌肤晓,老刑警劉巖爷贫,帶你破解...
    沈念sama閱讀 211,743評(píng)論 6 492
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異补憾,居然都是意外死亡漫萄,警方通過(guò)查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 90,296評(píng)論 3 385
  • 文/潘曉璐 我一進(jìn)店門(mén)盈匾,熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)腾务,“玉大人,你說(shuō)我怎么就攤上這事削饵⊙沂荩” “怎么了?”我有些...
    開(kāi)封第一講書(shū)人閱讀 157,285評(píng)論 0 348
  • 文/不壞的土叔 我叫張陵窿撬,是天一觀的道長(zhǎng)启昧。 經(jīng)常有香客問(wèn)我,道長(zhǎng)劈伴,這世上最難降的妖魔是什么密末? 我笑而不...
    開(kāi)封第一講書(shū)人閱讀 56,485評(píng)論 1 283
  • 正文 為了忘掉前任,我火速辦了婚禮跛璧,結(jié)果婚禮上严里,老公的妹妹穿的比我還像新娘。我一直安慰自己追城,他們只是感情好刹碾,可當(dāng)我...
    茶點(diǎn)故事閱讀 65,581評(píng)論 6 386
  • 文/花漫 我一把揭開(kāi)白布。 她就那樣靜靜地躺著漓柑,像睡著了一般教硫。 火紅的嫁衣襯著肌膚如雪叨吮。 梳的紋絲不亂的頭發(fā)上辆布,一...
    開(kāi)封第一講書(shū)人閱讀 49,821評(píng)論 1 290
  • 那天,我揣著相機(jī)與錄音茶鉴,去河邊找鬼锋玲。 笑死,一個(gè)胖子當(dāng)著我的面吹牛涵叮,可吹牛的內(nèi)容都是我干的惭蹂。 我是一名探鬼主播伞插,決...
    沈念sama閱讀 38,960評(píng)論 3 408
  • 文/蒼蘭香墨 我猛地睜開(kāi)眼,長(zhǎng)吁一口氣:“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼盾碗!你這毒婦竟也來(lái)了媚污?” 一聲冷哼從身側(cè)響起,我...
    開(kāi)封第一講書(shū)人閱讀 37,719評(píng)論 0 266
  • 序言:老撾萬(wàn)榮一對(duì)情侶失蹤廷雅,失蹤者是張志新(化名)和其女友劉穎耗美,沒(méi)想到半個(gè)月后,有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體航缀,經(jīng)...
    沈念sama閱讀 44,186評(píng)論 1 303
  • 正文 獨(dú)居荒郊野嶺守林人離奇死亡商架,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 36,516評(píng)論 2 327
  • 正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了芥玉。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片蛇摸。...
    茶點(diǎn)故事閱讀 38,650評(píng)論 1 340
  • 序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖灿巧,靈堂內(nèi)的尸體忽然破棺而出赶袄,到底是詐尸還是另有隱情,我是刑警寧澤抠藕,帶...
    沈念sama閱讀 34,329評(píng)論 4 330
  • 正文 年R本政府宣布弃鸦,位于F島的核電站,受9級(jí)特大地震影響幢痘,放射性物質(zhì)發(fā)生泄漏唬格。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 39,936評(píng)論 3 313
  • 文/蒙蒙 一颜说、第九天 我趴在偏房一處隱蔽的房頂上張望购岗。 院中可真熱鬧,春花似錦门粪、人聲如沸喊积。這莊子的主人今日做“春日...
    開(kāi)封第一講書(shū)人閱讀 30,757評(píng)論 0 21
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)乾吻。三九已至,卻和暖如春拟蜻,著一層夾襖步出監(jiān)牢的瞬間绎签,已是汗流浹背。 一陣腳步聲響...
    開(kāi)封第一講書(shū)人閱讀 31,991評(píng)論 1 266
  • 我被黑心中介騙來(lái)泰國(guó)打工酝锅, 沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留诡必,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 46,370評(píng)論 2 360
  • 正文 我出身青樓搔扁,卻偏偏與公主長(zhǎng)得像爸舒,于是被迫代替她去往敵國(guó)和親蟋字。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 43,527評(píng)論 2 349

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開(kāi)發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見(jiàn)模式的工具(例如配置管理扭勉,服務(wù)發(fā)現(xiàn)鹊奖,斷路器,智...
    卡卡羅2017閱讀 134,633評(píng)論 18 139
  • 概述 JSON Web令牌(JWT)是一個(gè)緊湊的采用URL安全表示方法的聲明涂炎,用于在兩方之間傳輸嫉入。JWT的聲明被編...
    御淺永夜閱讀 5,159評(píng)論 0 0
  • 轉(zhuǎn)載本文需注明出處:微信公眾號(hào)EAWorld,違者必究璧尸。 本文目錄: 一咒林、單體應(yīng)用 VS 微服務(wù) 二、微服務(wù)常見(jiàn)安...
    72a1f772fe47閱讀 8,546評(píng)論 3 25
  • 本文目錄:一爷光、單體應(yīng)用 VS 微服務(wù)二垫竞、微服務(wù)常見(jiàn)安全認(rèn)證方案三、JWT介紹四蛀序、OAuth 2.0 介紹五欢瞪、思考總...
    挨踢的懶貓閱讀 17,952評(píng)論 5 29
  • JSON Web Token(JWT)是一個(gè)非常輕巧的規(guī)范(安全認(rèn)證標(biāo)準(zhǔn))。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)...
    Superwind20閱讀 11,699評(píng)論 2 5