draft:
http://self-issued.info/docs/draft-ietf-oauth-json-web-token.html
http://tools.ietf.org/html/draft-jones-json-web-token-10
JWT全稱JSON Web Token[http://www.jwt.io/],用於發送可通過數字簽名和認證的東西,它包含一個緊湊的,URL安全的JSON對象,服務端可通過解析該值來驗證是否有操作權限,是否過期等安全性檢查。由於其緊湊的特點,可放在url中或者 HTTP Authorization頭中,它是一種用於認證頭部的 token 格式。這個 token 幫你實現了在兩個系統之間以一種安全的方式傳遞信息。
一個jwt包含了三部分:header,payload,signature。
-
header 是 token 的一部分,用來存放 token 的類型和編碼方式,通常是使用 base-64 編碼。
- payload 包含了信息。你可以存放任一種信息,比如用戶信息,產品信息等。它們都是使用 base-64 編碼方式進行存儲。
- signature 包括了 header,payload 和密鑰的混合體。密鑰必須安全地保存儲在服務端。
具體的算法就如下圖 :
代碼實現
.NET 下有 System.IdentityModel.Tokens.Jwt,JWT 等實現, PM> Install-Package JWT https://github.com/jwt-dotnet/jwt
public async Task<ActionResult> Index() { //Creating Tokens var exp = Math.Round((DateTime.UtcNow - new DateTime(1970, 1, 1, 0, 0, 0, DateTimeKind.Utc)).TotalSeconds + 5); var payload = new Dictionary<string, dynamic>() { { "iss", "irving" }, { "exp", exp}, { "name", "irving" }, { "age", 25 }, { "birthday", "1991-04-18" } }; var secretKey = "GQDstcKsx0NHjPOuXOYg5MbeJ1XT0uFiwDVvVBrk"; string token = JWT.JsonWebToken.Encode(payload, secretKey, JWT.JwtHashAlgorithm.HS256); try { //Verifying and Decoding Tokens string jsonPayload = JWT.JsonWebToken.Decode(token, secretKey); var dictPayload = JWT.JsonWebToken.DecodeToObject(token, secretKey) as IDictionary<string, dynamic>; return Content(jsonPayload + dictPayload["name"]); } catch (JWT.SignatureVerificationException ex) { return Content("Invalid token!"); } }
REFER:
Nodejs RESTFul架構實踐之api篇
https://cnodejs.org/topic/557d647216839d2d53936351