什么是JWT？

JSON Web Token（JWT）是一個(gè)非常輕巧的規(guī)范。這個(gè)規(guī)范允許我們使用JWT在用戶和服務(wù)器之間傳遞安全可靠的信息。對接上一篇文章，這個(gè)其實(shí)就是一種token的認(rèn)知機(jī)制。現(xiàn)在很多都使用該方式進(jìn)行認(rèn)證，也有shiro或者spring security。不過主要是這種實(shí)現(xiàn)，比較輕量級。

JWT組成？

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。

頭部（Header）

頭部用于描述關(guān)于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對象。在頭部指明了簽名算法是HS256算法。

我們進(jìn)行BASE64編碼http://base64.xpcha.com/，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

小知識：Base64是一種基于64個(gè)可打印字符來表示二進(jìn)制數(shù)據(jù)的表示方法。由于2的6次方等于64，所以每6個(gè)比特為一個(gè)單元，對應(yīng)某個(gè)可打印字符。三個(gè)字節(jié)有24個(gè)比特，對應(yīng)于4個(gè)Base64單元，即3個(gè)字節(jié)需要用4個(gè)可打印字符來表示。

JDK 中提供了非常方便的 BASE64Encoder 和 BASE64Decoder，用它們可以非常方便的完成基于 BASE64 的編碼和解碼

載荷（playload）

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品，這些有效信息包含三個(gè)部分：

（1）標(biāo)準(zhǔn)中注冊的聲明（建議但不強(qiáng)制使用）

iss: jwt簽發(fā)者
sub: jwt所面向的用戶
aud: 接收jwt的一方
exp: jwt的過期時(shí)間，這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間
nbf: 定義在什么時(shí)間之前，該jwt都是不可用的.
iat: jwt的簽發(fā)時(shí)間
jti: jwt的唯一身份標(biāo)識，主要用來作為一次性token,從而回避重放攻擊。

（2）公共的聲明

公共的聲明可以添加任何的信息，一般添加用戶的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息，因?yàn)樵摬糠衷诳蛻舳丝山饷?

（3）私有的聲明

私有聲明是提供者和消費(fèi)者所共同定義的聲明，一般不建議存放敏感信息，因?yàn)閎ase64是對稱解密的，意味著該部分信息可以歸類為明文信息。

這個(gè)指的就是自定義的claim。比如前面那個(gè)結(jié)構(gòu)舉例中的admin和name都屬于自定的claim。這些claim跟JWT標(biāo)準(zhǔn)規(guī)定的claim區(qū)別在于：JWT規(guī)定的claim，JWT的接收方在拿到JWT之后，都知道怎么對這些標(biāo)準(zhǔn)的claim進(jìn)行驗(yàn)證(還不知道是否能夠驗(yàn)證)；而private claims不會驗(yàn)證，除非明確告訴接收方要對這些claim進(jìn)行驗(yàn)證以及規(guī)則才行。

定義一個(gè)payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后將其進(jìn)行base64編碼，得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證（signature）

jwt的第三部分是一個(gè)簽證信息，這個(gè)簽證信息由三部分組成：

  header (base64后的)
  payload (base64后的)
  secret

這個(gè)部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過header中聲明的加密方式進(jìn)行加鹽secret組合加密，然后就構(gòu)成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

重點(diǎn)來了?。。?br> 注意：secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證，所以，它就是你服務(wù)端的私鑰，在任何場景都不應(yīng)該流露出去。一旦客戶端得知這secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。
接著是實(shí)現(xiàn)的版本，見下一篇

感謝您閱讀我的文章，整理不易，幫我點(diǎn)個(gè)贊，謝謝哈。
如果對文章部分還有什么見解或者疑惑，可以私信評論我，歡迎技術(shù)討論。可以加我微信z985085305，獲取我整理的一些其他的筆記。

思想的碰撞最能促進(jìn)技術(shù)的進(jìn)步哦。