什么是JWT？

JWT（json web token），它并不是一個(gè)具體的技術(shù)實(shí)現(xiàn)，而更像是一種標(biāo)準(zhǔn)。

Json web token (JWT), 是為了在網(wǎng)絡(luò)應(yīng)用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開(kāi)放標(biāo)準(zhǔn).該token被設(shè)計(jì)為緊湊且安全的，特別適用于分布式站點(diǎn)的單點(diǎn)登錄（SSO）場(chǎng)景。JWT的聲明一般被用來(lái)在身份提供者和服務(wù)提供者間傳遞被認(rèn)證的用戶(hù)身份信息，以便于從資源服務(wù)器獲取資源，也可以增加一些額外的其它業(yè)務(wù)邏輯所必須的聲明信息，該token也可直接被用于認(rèn)證，也可被加密。

JWT規(guī)定了數(shù)據(jù)傳輸?shù)慕Y(jié)構(gòu)，一串完整的JWT由三段落組成，每個(gè)段落用英文句號(hào)連接（.）連接，他們分別是：Header、Payload、Signature，所以，常規(guī)的JWT內(nèi)容格式是這樣的：AAA.BBB.CCC

并且，這一串內(nèi)容會(huì)base64加密；也就是說(shuō)base64解碼就可以看到實(shí)際傳輸?shù)膬?nèi)容。接下來(lái)解釋一下這些內(nèi)容都有什么作用。

Header

Header包含加密的方式、type，比如：

Payload

然后我們來(lái)看BBB代表的Payload：

顧名思義，這里就會(huì)包含實(shí)際傳遞的參數(shù)內(nèi)容，比如：

記住，在這里不要傳遞那些很敏感的數(shù)據(jù)，因?yàn)橹灰猙ase64解碼就可以看到，除非你還額外加密一層。

Signature

最后一部分是CCC代表的Signature，當(dāng)然也是字面意思——簽名，base64解碼后，是這個(gè)樣子：

它主要決定了Header、Payload有沒(méi)有被人篡改；如果內(nèi)容被篡改，那么這條JWT將會(huì)被視為無(wú)效。

如何工作

那么，一串JWT如何發(fā)揮它的作用呢？正常來(lái)說(shuō)，每一次請(qǐng)求都像圖里這樣就傳入就可以了。

記住內(nèi)容前面的“Bearer”是固定的，并且還得多加一個(gè)空格做分割。

應(yīng)用場(chǎng)景

基本上絕大部分的人都用JWT做登錄授權(quán)，它相比原先的session、cookie來(lái)說(shuō)，更快更安全，跨域也不再是問(wèn)題，更關(guān)鍵的是更加優(yōu)雅~

當(dāng)然它也可以用來(lái)傳遞數(shù)據(jù)，只不過(guò)我個(gè)人覺(jué)得做傳輸不太好用（實(shí)際上我想市場(chǎng)也這么覺(jué)得），原因幾點(diǎn)：

1、如果是公開(kāi)展示數(shù)據(jù)的話，我何必先加簽才返回呢？

2、如果是私密數(shù)據(jù)的話，人家base64解碼就能看到，不合適吧？即便我把payload內(nèi)容加密，可這樣一來(lái)就加密好幾次了，我直接用別的加密手段它不香么？

或許是目前的業(yè)務(wù)需求并沒(méi)有很契合，童鞋們遇到了可以一起討論下。

最后

JWT大概是和 .Net Core 一起進(jìn)入我視野的，它相對(duì)輕便、優(yōu)雅，對(duì)服務(wù)器基本沒(méi)依賴(lài)，所以我基本所有項(xiàng)目的登錄授權(quán)都在用它。用它這么久了還沒(méi)仔細(xì)梳理下，所以今天抽時(shí)間寫(xiě)一篇。沒(méi)有翻查什么文獻(xiàn)，也沒(méi)有很高大上的詞綴，就是單純以我的角度闡述我對(duì)它的認(rèn)識(shí)。回頭再補(bǔ)一篇JWT在.Net Core的實(shí)現(xiàn)。

到此這篇關(guān)于什么是JWT超詳細(xì)講解的文章就介紹到這了,更多相關(guān)JWT是什么內(nèi)容請(qǐng)搜索以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持！