概要

JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT定義了一種簡潔的，自包含的方法用於通訊雙方之間以Json物件的形式安全的傳遞資訊。因為數字簽名的存在，這些資訊是可信的，JWT可以使用HMAC演算法或者是RSA的公私祕鑰對進行簽名。
簡潔(Compact): 可以通過URL，POST引數或者在HTTP header傳送，因為資料量小，傳輸速度也很快
自包含(Self-contained): 負載中包含了所有使用者所需要的資訊，避免了多次查詢資料庫

主要應用場景

身份認證在這種場景下，一旦使用者完成了登陸，在接下來的每個請求中包含JWT，可以用來驗證使用者身份以及對路由，服務和資源的訪問許可權進行驗證。

由於它的開銷非常小，可以輕鬆的在不同域名的系統中傳遞，所有目前在單點登入（SSO）中比較廣泛的使用了該技術。

資訊交換在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式，由於它的資訊是經過簽名的，可以確保傳送者傳送的資訊是沒有經過偽造的。

jwt訊息結構

一個token分3部分，按順序為

• 頭部（header)
• 載荷（payload)
• 簽證（signature)

由三部分生成token3部分之間用“.”號做分隔。
例如：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

頭部（header）

Jwt的頭部承載兩部分資訊：
宣告型別，這裡是jwt
宣告加密的演算法 通常直接使用 HMAC SHA256

{ "alg": "HS256", "typ": "JWT"}

然後將頭部進行base64加密（該加密是可以對稱解密的),構成了第一部分：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

載荷（payload)

載荷就是存放有效資訊的地方。這個名字像是特指飛機上承載的貨品，這些有效資訊包含三個部分

• 標準中註冊的宣告
• 公共的宣告
• 私有的宣告

payload-標準中註冊的宣告 (建議，但不強制使用) ：

• iss: jwt簽發者
• sub: jwt所面向的使用者
• aud: 接收jwt的一方
• exp: jwt的過期時間，這個過期時間必須要大於簽發時間
• nbf: 定義在什麼時間之前，該jwt都是不可用的.
• iat: jwt的簽發時間
• jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避重放攻擊。

payload-公共的宣告 ：
公共的宣告可以新增任何的資訊，一般新增使用者的相關資訊或其他業務需要的必要資訊.但不建議新增敏感資訊，因為該部分在客戶端可解密。

payload-私有的宣告 ：
私有宣告是提供者和消費者所共同定義的宣告，一般不建議存放敏感資訊，因為base64是對稱解密的，意味著該部分資訊可以歸類為明文資訊。

定義一個payload：

{"name":"Free碼農","age":"28","org":"今日頭條"}

然後將其進行base64加密，得到Jwt的第二部分：

eyJvcmciOiLku4rml6XlpLTmnaEiLCJuYW1lIjoiRnJlZeeggeWGnCIsImV4cCI6MTUxNDM1NjEwMywiaWF0IjoxNTE0MzU2MDQzLCJhZ2UiOiIyOCJ9

簽證（signature）

jwt的第三部分是一個簽證資訊，這個簽證資訊由三部分組成：

• header (base64後的)
• payload (base64後的)
• secret
  這個部分需要base64加密後的header和base64加密後的payload使用.連線組成的字串，然後通過header中宣告的加密方式進行加鹽secret組合加密，然後就構成了jwt的第三部分：

49UF72vSkj-sA4aHHiYN5eoZ9Nb4w5Vb45PsLF7x_NY

金鑰secret是儲存在服務端的，服務端會根據這個金鑰進行生成token和驗證，所以需要保護好。

其他

在Web應用中，別再把JWT當做session使用，絕大多數情況下，傳統的cookie-session機制工作得更好
JWT適合一次性的命令認證，頒發一個有效期極短的JWT，即使暴露了危險也很小，由於每次操作都會生成新的JWT，因此也沒必要儲存JWT，真正實現無狀態。