JWT構(gòu)成及工作原理
什么是JWT?
JWT(json web token),它并不是一個(gè)具體的技術(shù)實(shí)現(xiàn),而更像是一種標(biāo)準(zhǔn)。
JWT規(guī)定了數(shù)據(jù)傳輸?shù)慕Y(jié)構(gòu),一串完整的JWT由三段落組成,每個(gè)段落用英文句號(hào)連接(.)連接,他們分別是:Header、Payload、Signature,所以,常規(guī)的JWT內(nèi)容格式是這樣的:AAA.BBB.CCC
并且,這一串內(nèi)容會(huì)base64加密;也就是說base64解碼就可以看到實(shí)際傳輸?shù)膬?nèi)容。接下來解釋一下這些內(nèi)容都有什么作用。
Header
Header包含加密的方式、type,比如:
Payload
然后我們來看BBB代表的Payload:
顧名思義,這里就會(huì)包含實(shí)際傳遞的參數(shù)內(nèi)容,比如:
記住,在這里不要傳遞那些很敏感的數(shù)據(jù),因?yàn)橹灰猙ase64解碼就可以看到,除非你還額外加密一層。
Signature
最后一部分是CCC代表的Signature,當(dāng)然也是字面意思——簽名,base64解碼后,是這個(gè)樣子:
它主要決定了Header、Payload有沒有被人篡改;如果內(nèi)容被篡改,那么這條JWT將會(huì)被視為無效。
如何工作
那么,一串JWT如何發(fā)揮它的作用呢?正常來說,每一次請(qǐng)求都像圖里這樣就傳入就可以了。
記住內(nèi)容前面的“Bearer”是固定的,并且還得多加一個(gè)空格做分割。
應(yīng)用場(chǎng)景
基本上絕大部分的人都用JWT做登錄授權(quán),它相比原先的session、cookie來說,更快更安全,跨域也不再是問題,更關(guān)鍵的是更加優(yōu)雅~
當(dāng)然它也可以用來傳遞數(shù)據(jù),只不過我個(gè)人覺得做傳輸不太好用(實(shí)際上我想市場(chǎng)也這么覺得),原因幾點(diǎn):
1、如果是公開展示數(shù)據(jù)的話,我何必先加簽才返回呢?
2、如果是私密數(shù)據(jù)的話,人家base64解碼就能看到,不合適吧?即便我把payload內(nèi)容加密,可這樣一來就加密好幾次了,我直接用別的加密手段它不香么?
或許是目前的業(yè)務(wù)需求并沒有很契合,童鞋們遇到了可以一起討論下。
最后
JWT大概是和 .Net Core 一起進(jìn)入我視野的,它相對(duì)輕便、優(yōu)雅,對(duì)服務(wù)器基本沒依賴,所以我基本所有項(xiàng)目的登錄授權(quán)都在用它。用它這么久了還沒仔細(xì)梳理下,所以今天抽時(shí)間寫一篇。沒有翻查什么文獻(xiàn),也沒有很高大上的詞綴,就是單純以我的角度闡述我對(duì)它的認(rèn)識(shí)。回頭再補(bǔ)一篇JWT在.Net Core的實(shí)現(xiàn)。
到此這篇關(guān)于JWT構(gòu)成及工作原理的文章就介紹到這了。希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。
相關(guān)文章
Javascript基礎(chǔ)教程之關(guān)鍵字和保留字匯總
這篇文章主要介紹了Javascript基礎(chǔ)教程之關(guān)鍵字和保留字匯總,需要的朋友可以參考下2015-01-01使用HTML+CSS+JS制作簡(jiǎn)單的網(wǎng)頁(yè)菜單界面
這篇文章主要介紹了使用HTML+CSS+JS制作簡(jiǎn)單的網(wǎng)頁(yè)菜單界面,這個(gè)ABROAD項(xiàng)目所使用的JavaScript部分代碼非常簡(jiǎn)單,需要的朋友可以參考下2015-07-07向JavaScript的數(shù)組中添加元素的方法小結(jié)
這篇文章主要介紹了向JavaScript的數(shù)組中添加元素的方法小結(jié),分別舉了一些JS數(shù)組操作的例子,基本需要的朋友可以參考下2015-10-10