1.JWT(JSON Web Token)

JSON Web Token (缩写JWT) 是目前最流行的跨域认证解决方案。

1.1、 跨域认证问题

互联网服务离不开用户认证。一般流程如下：
1、 用户向服务器发送用户名和密码。
2、 服务器通过验证后，在当前对话（session）里面保存相关数据，比如用户角色、登录时间等。
3、 服务器向用户返回一个session_id，写入用户的cookie。
4、 用户随后的每一次请求，都会通过Cookie，将session_id传回服务器。
5、 服务器收到session_id，找到前期保存到的数据，由此得知用户的身份。
这种模式的问题在于：
扩展性不好，单机虽然没有问题，但是如果是服务器集群，或者是跨域的服务导向架构，就要求session数据共享，每台服务器都要能读取session。
解决方案：
A、 session 持久化，写入数据库或者别的持久层。各种服务收到请求后，都向持久层请求数据。这种方案的有点就是架构清晰，缺点是工程量比较大。另外持久层万一挂了，就会单点失败。
B、 另一种方案是服务器索性不保存session数据了，所有数据都保存在客户端，每次请求都发回服务器。JWT就是这种方案的一个代表。

1.2、JWT的原理

即服务器认证后，生成一个JSON对象，发回给用户。
以后，用户与服务器通信的时候，都要发回这个JSON对象，服务器完全只靠这个对象认定用户身份。为了防止用户篡改数据，服务器在生成这个对象的时候，会加上签名。
这样服务器就不会保存任何session数据，服务器就变成无状态了，从而比较容易实现扩展

1.3、JWT数据结构

JWT是由三个部分组成：

• Header（头部）
• Payload（负载）
• Signature（签名）

Header 部分是一个JSON对象，描述JWT的元数据。
Payload 部分也是一个JSON对象，用来存放实际需要传递的数据。JWT规定了7个官方字段，供选用。
注意，JWT默认是不加密的，任何人都可以读到，所以不要吧秘密信息放在PayLoad。
Signature 是对前两个部分的签名，防止篡改数据。首先需要指定一个密匙，这个密匙只有服务器才知道，不能泄露给用户，然后使用Header里面指定的签名算法（默认是HMACSHA256）

HMACSHA256(
    base64UrlEncode(header) + “.” +
    base64UrlEncode(payload),
    secret
)

算出签名后，把Header、Payload、Signature三个部分拼成一个字符串，每个部分之间用（.）分隔，返回给用户。

JWT的使用方式
客户端收到服务器返回的JWT，可以存储在Cookie里面，也可以存储在localStorage。
此后，客户端每次与服务器通信，都要带上这个JWT。也可以把他放在Cookie里面自动发送，但是这样不能跨域，所以更好的做法是放在HTTP请求的头信息Authorization（权限认证）字段里面。

1.4、JWT的几个特点

1、 JWT默认是不加密的，但也是可以加密的。生成原始Token以后，可以用密钥再加密一次。
2、 JWT不加密的情况下，不能将秘密数据写入JWT.
3、 JWT不仅可以用于认证，也可以用户交换信息。有效使用JWT，可以降低服务器查询数据库的次数。
4、 JWT的最大缺点是，由于服务器不保存session状态，因此无法在使用过程中废止某个token，或者更改token的权限。也就是说一旦JWT签发了，在到期之前都会始终有效，除非服务器部署额外的逻辑。
5、 JWT本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT的有效期应该设置的比较短。对于一些重要的权限，使用时应该再次对用户进行认证。
6、 为了减少盗用，JWT不应该使用HTTP协议明码传输，要使用HTTPS协议传输。