基于JWT的Token认证机制实现

基于JWT的Token认证机制实现

一个 JWT 实际上就是一个字符串，它由三部分组成，头部、载荷与签名。

头部（ Header ）

头部用于描述关于该 JWT 的最基本的信息，例如其类型以及签名所用的算法等。这也可以

被表示成一个 JSON 对象。

载荷（ playload ）

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包

含三个部分

是对称解密的，意味着该部分信息可以归类为明文信息。

这个指的就是自定义的 claim 。比如前面那个结构举例中的 admin 和 name 都属于自定的

claim 。这些 claim 跟 JWT 标准规定的 claim 区别在于： JWT 规定的 claim ， JWT 的接收方在

拿到 JWT 之后，都知道怎么对这些标准的 claim 进行验证 ( 还不知道是否能够验证 ) ；而

private claims 不会验证，除非明确告诉接收方要对这些 claim 进行验证以及规则才行。

定义一个 payload:

{"sub":"1234567890","name":"John Doe","admin":true}

jwt 的第三部分是一个签证信息，这个签证信息由三部分组成：

header (base64后的) payload (base64后的) secret

这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符

三部分。

将这三部分用 . 连接成一个完整的字符串 , 构成了最终的 jwt:

注意： secret是保存在服务器端的，jwt的签发生成也是在服务器端的，secret就是用

来进行jwt的签发和jwt的验证，所以，它就是你服务端的私钥，在任何场景都不应该流

露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。