0


JWT(JSON Web Token)

JWT

JWT全称JSON Web Token(JSON Web令牌)

通过JSON形式作为Web应用令牌,用于在各方之间将信息作为JSON对象传输,在数据传输中完成数据加密,签名等相关处理。

作用:

  • 授权:用户登录后,后续的请求将包括JWT令牌。从而允许用户访问该令牌允许的路由,服务和资源。开销较小,并且可以跨域使用。
  • 信息交换:在各方之间安全地传输信息。JWT可进行签名(如使用公钥/私钥对),因此可确保发件人。由于签名是使用标头和有效负载计算的,因此还可验证内容是否被篡改。

认证流程:

  • 前端通过Web表单将用户名和密码发送到后端接口(一般是POST请求)
  • 后端核对用户名和密码成功后,将用户id等其他信息作为JWT Pauload(负载),将其与头部分别进行Base64编码拼接签名,形成一个Token。
  • 后端将JWT字符串作为登录成功后的结果返回前端,前端将其保存在本地缓存,或者session缓存上,退出登录时删除缓存。
  • 前端每次请求时将JWT放入HTTP中Header
  • 后端检查是否存在,(验证JWT的有效性,检查签名是否存在,检查Token是否过期,验证Token的接收方式是否是自己)
  • 验证通过后可以进行操作,否则返回错误信息。

db06970be100500333a4e153256aeb81

优点:

  • 轻量简介:可以放在URL,POST参数或者请求头中,数据量小,传输速度快。
  • 自包含:包含了用户需要的信息,减少数据库的查询。
  • 以JSON形式保存在客户端中,任何web形式都支持。

结构:一个字符串,三部分组成,中间用. 隔开

  • 标头
  • 有效负载
  • 签名

Header(标头):有令牌的类型和使用的签名算法。

Payload(负载) :有效负载,包含声明;声明是有关实体(通常是用户)和其他数据的声明,不放用户敏感的信息因为使用Base64编码(可逆的)

Signature (签名):将编码后的标头和负载,加上我们提供的密钥,使用header中的签名算法进行签名(保证JWT没有被篡改)

们提供的密钥,使用header中的签名算法进行签名(保证JWT没有被篡改)

标签: json 前端

本文转载自: https://blog.csdn.net/liubduo/article/details/142034245
版权归原作者 吃垃圾桶 所有, 如有侵权,请联系我们删除。

“JWT(JSON Web Token)”的评论:

还没有评论