什么是JWT？

JSON Web Token（JWT）是一個(gè)非常輕巧的規(guī)范，它允許我們使用jwt在用戶和服務(wù)器之間傳輸安全可靠的信息。

JWT的組成：

一個(gè)JWT實(shí)際上就是一個(gè)字符串，它由三部分組成，頭部、載荷與簽名。

頭部(Header):

頭部用于描述關(guān)于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個(gè)JSON對(duì)象。
{"typ":"JWT","alg":"HS256"}
在頭部指明了簽名算法是HS256算法。 我們進(jìn)行BASE64編碼http://base64.xpcha.com/，編碼后的字符串如下:
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

載荷(playload):

載荷就是存放有效信息的地方。這個(gè)名字像是特指飛機(jī)上承載的貨品，這些有效信息包含三個(gè)部分
(1)標(biāo)準(zhǔn)中注冊(cè)的聲明(建議但不強(qiáng)制使用)

iss:        jwt簽發(fā)者  
sub:       jwt所面向的用戶  
aud:      接收jwt的一方  
exp:      jwt的過期時(shí)間，這個(gè)過期時(shí)間必須要大于簽發(fā)時(shí)間  
nbf:       定義在什么時(shí)間之前，該jwt都是不可用的.  
iat:        jwt的簽發(fā)時(shí)間  
jti:         jwt的唯一身份標(biāo)識(shí)，主要用來作為一次性token,從而回避重放攻擊。

(2)公共的聲明

公共的聲明可以添加任何的信息，一般添加用戶的相關(guān)信息或其他業(yè)務(wù)需要的必要信息.但不建議添加敏感信息，因?yàn)樵摬糠衷诳蛻舳丝山饷?

(3)私有的聲明

私有聲明是提供者和消費(fèi)者所共同定義的聲明，一般不建議存放敏感信息，因?yàn)閎ase64是對(duì)稱解密的，意味著該部分信息可以歸類為明文信息。

這個(gè)指的就是自定義的claim。比如前面那個(gè)結(jié)構(gòu)舉例中的admin和name都屬于自定的claim。這些claim跟JWT標(biāo)準(zhǔn)規(guī)定的claim區(qū)別在于:JWT規(guī)定的claim，JWT的接收方在

拿到JWT之后，都知道怎么對(duì)這些標(biāo)準(zhǔn)的claim進(jìn)行驗(yàn)證(還不知道是否能夠驗(yàn)證);而private claims不會(huì)驗(yàn)證，除非明確告訴接收方要對(duì)這些claim進(jìn)行驗(yàn)證以及規(guī)則才行。

定義一個(gè)payload（載荷）:
{"sub":"1234567890","name":"John Doe","admin":true}
然后將其進(jìn)行base64編碼，得到Jwt的第二部分。
eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證(signature)

jwt的第三部分是一個(gè)簽證信息，這個(gè)簽證信息由三部分組成:
header (base64后的)
payload (base64后的)
secret
這個(gè)部分需要base64加密后的header和base64加密后的payload使用“.”連接組成的字符串，然后通過header中聲明的加密方式進(jìn)行加鹽secret組合加密，然后就構(gòu)成了jwt的第三部分。
TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個(gè)完整的字符串,構(gòu)成了最終的jwt:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意:

secret是保存在服務(wù)器端的，jwt的簽發(fā)生成也是在服務(wù)器端的，secret就是用來進(jìn)行jwt的簽發(fā)和jwt的驗(yàn)證，所以，它就是你服務(wù)端的私鑰，在任何場(chǎng)景都不應(yīng)該流露出去。一旦客戶端得知這個(gè)secret, 那就意味著客戶端是可以自我簽發(fā)jwt了。