1、簡介：

Json web token (JWT), 是為了在網絡應用環(huán)境間傳遞聲明而執(zhí)行的一種基于JSON的開放標準((RFC 7519).該token被設計為緊湊且安全的，特別適用于分布式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便于從資源服務器獲取資源，也可以增加一些額外的其它業(yè)務邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

2、使用場景：

(1) 權限認證：這是JWT使用最常見的地方，用戶一旦登錄，就會獲得一個JWT，這個JWT使得用戶有權限訪問

后續(xù)的路徑或者服務。由于其容量小和易于跨域的特點，因此JWT廣泛應用在分布式單點登錄中。

(2) 信息交換：JWT是不同服務之間信息交換和好的一種方式。因為它可以使用鍵值對來標記，所以接收方

可以確定發(fā)送方的身份。此外，JWT的signature的通過head和payload計算出來的，所以可以保證傳遞的信息

內容不會被篡改。

3、JWT的結構

JWT有三部分組成，這三部分含義分別是header，payload, signature

Header

頭部包含了兩個方面：類型和使用的哈希算法(如HMAC SHA256)：

對這個JSON字符進行base64encode編碼，我們就有了首個JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload

JWT的第二部分是payload，也稱為 JWT Claims，這里放置的是我們需要傳輸的信息，有多個項目如

注冊的claim名稱，公共claim名稱和私有claim名稱。

注冊claim名稱有下面幾個部分：

iss: token的發(fā)行者sub: token的題目aud: token的客戶exp: 經常使用的，以數字時間定義失效期，也就是當前時間以后的某個時間本token失效。nbf: 定義在此時間之前，JWT不會接受處理。iat: JWT發(fā)布時間，能用于決定JWT年齡jti: JWT唯一標識. 能用于防止 JWT重復使用，一次只用一個token

公共claim名稱用于定義我們自己創(chuàng)造的信息，比如用戶信息和其他重要信息。

私有claim名稱用于發(fā)布者和消費者都同意以私有的方式使用claim名稱。

下面是JWT的一個案例：

{ "iss": "scotch.io", "exp": 1300819380, "name": "Chris Sevilleja", "admin": true }

簽名

JWT第三部分最后是簽名，簽名由以下組件組成：

headerpayload密鑰

下面是我們如何得到JWT的第三部分：

這里的secret是被服務器簽名，我們服務器能夠驗證存在的token并簽名新的token。

4、JWT是如何工作的

當用戶登錄成功之后，服務端會生成一個JWT并且返回給瀏覽器(放在響應頭中)，這種方法代替了傳統(tǒng)的

在服務端創(chuàng)建一個session然后返回瀏覽器cookie的方法。