1、概念
OIDC:Open ID Connect,用更安全的方法将服务器得到的身份验证结果返回给客户端,认证结果以id_token形式返回。这个id_token就是JWT格式的数据。
JWT:JsonWebToken,字面理解 是web适用的包含JSON格式数据的Token令牌数据。作为一个用户的令牌可以出现在URL中。
2、JWT认证原理
JWT解放了服务端对session信息的管理,一般的token在服务端解析之后需要查找用户数据库等的进行正确性的校验,而JWT就不需要,只需要客户端持有,在过期时间范围内发送给服务端都是可以通过认证的,客户端存在cookie/localStorage之中。
问题和答案都在JWT字符串中,只需要一个除了服务端谁都不知道的密钥去解开答案,看和问题是否一致。因为这个JWT的令牌是服务端自己分发的,所以个人理解加解密只需要是同一个密钥。
3、JWT内容
JWT = Header.Payload.Signature
Header是关于JWT本身的一些元数据(设置JWT字符串的信息)
Payload是需要传输的JSON格式信息
Header和Payload本身都是JSON格式,转化成字符串一般通过Base64URL方法。
Signature就是加密签名后的内容了。签名算法定义在Header中。
网友评论