JWT是什么?
JWT是一种基于JSON的token验证标准,常用于分布式服务的单点登录。
JWT的优势
JWT不像session和redis token那样需要在服务端内存/Redis中保存数据用于鉴权,JWT无状态的,服务端不需要保存任何数据,这也意味着JWT认证机制不需要考虑用户在哪一台服务器上登录,非常适合于分布式服务。
JWT鉴权流程
- 用户端发送登录请求
- 服务端验证登录信息
- 验证通过,服务端生成一个token发送给用户端
- 用户端存储token,每次请求都在头部加上这个token
- 服务端验证token,并返回数据
JWT的构成
JWT由三部分构成
- 头部
{
'typ': 'JWT', //表明这是JWT验证机制
'alg': 'HS256' //所使用的加密算法
}
- 载荷(存放一些公共信息,可自定义)
{
"iss": "a1", //JWT签发者
"id": "xxx", //用户编号
"exp": "1234567890" //JWT过期日期
}
-
签名
将前两部分(base64加密后的头部+载荷)与密钥(密钥存于服务端,不可暴露)拼接,然后用某个哈希算法加密,生成一个字符串,这个字符串就是签名。
将头部、载荷、签名用’.’符号相连,就组成了一个完整的JWT
版权声明:本文为weixin_45743893原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。