JWT是json web token缩写
它将用户信息加密到token里,服务器不保存任何用户信息;服务器通过使用保存的密钥验证token的正确性,只要正确即通过验证;基于token的身份验证可以替代传统的cookie、session身份验证方法。
JWT优点:
- 服务端不需要保存传统会话信息,没有跨域传输问题,减小服务器开销
- jwt构成简单,占用很少的字节,便于传输
- json格式通用,不同语言之间都可以使用
JWT由三部分组成:
- 头部(header)alg字段指定了生成signature的算法,默认值为HS256,typ默认值为JWT:
{
"alg": "HS256",
"typ": "JWT"
}
- 载荷(payload)包含一些定义信息和自定义信息(sub 面向的用户,name 姓名 ,iat 签发时间):
{
"sub": "abcdefg",
"name": "wuji",
"iat": 17520496732
}
- 签证(signature)对header和payload进行base64UrlEncode编码后进行拼接。通过key(这里是345678)进行HS256算法签名:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
345678
)
用户登录鉴权流程:
- 初次登录:用户使用用户名密码来请求服务器
- 密码验证:服务器从数据库取出用户名和密码进行验证
- 生成与返还JWT:服务器通过验证,根据从数据库返回的信息,以及预设规则,生成JWT,发送给用户一个token
- 带JWT的请求:客户端存储token,并在每次请求时附送上这个令牌值
- 服务端验证token,并返回数据
流程:
- 提交登录表单,发送用户名和密码到后端
- 初始化验证成功后,会发送一个令牌给前端
- 前端再拿这个令牌去请求需要用户权限访问
- 后端验证token,鉴权,返回相应数据(结果)
网友评论