基本构成
JWT是由三部分组成的字符串,格式为:Header.Payload.Signature(头部负载签名) ,这三部分通过"."连接在一起。
内部结构
头部(Header): 头部通常由两部分组成:令牌类型(通常是JWT)和所使用的签名算法(如HMAC SHA256或RSA)。 例如,头部的JSON表示可以是: { "alg": "HS256", "typ": "JWT" }
头部进行Base64Url编码后作为jwt的一部分
载荷(Payload): 载荷部分包含了声明,这些声明可以是关于实体(通常是用户)及其他数据的声明。声明有三种类型:注册声明、公共声明和私有声明。 例如,载荷的JSON表示可以是: { "sub": "1234567890", "name": "John Doe", "admin": true }
载荷同样需要进行Base64Url编码,形成jwt的第二部分
签名(Signature): 为了防止数据被篡改,JWT需要通过头部和载荷生成签名。签名是通过将编码后的头部和载荷与一个密钥结合,利用指定的算法生成的。 这个签名将确保JWT的完整性,只有持有密钥的人才能生成有效的签名。
签名将作为jwt的第三部分
安全性分析
jwt的安全性依赖于签名部分,只有拥有密钥的用户才能生成有效的JWT。因此,JWT在身份验证和信息交换中非常流行。它避免了传统的session存储方式带来的服务器负担。
jwt服务端只需要在本地即可验证真伪,而不需要向数据库中查询token
function createJWT(header, payload, secret)
{encodedHeader = Base64UrlEncode(header) encodedPayload = Base64UrlEncode(payload) signature = HMACSHA256(encodedHeader + "." + encodedPayload, secret) return encodedHeader + "." + encodedPayload + "." + signature
}
