JWT(json web token),它並不是一個具體的技術實現,而更像是一種標准。
JWT規定了數據傳輸的結構,一串完整的JWT由三段落組成,每個段落用英文句號連接(.)連接,他們分別是:Header、Payload、Signature,所以,常規的JWT內容格式是這樣的:AAA.BBB.CCC
並且,這一串內容會base64加密;也就是說base64解碼就可以看到實際傳輸的內容。接下來解釋一下這些內容都有什么作用。
Header
Header包含加密的方式、type,比如:
Payload
然后我們來看BBB代表的Payload:
顧名思義,這里就會包含實際傳遞的參數內容,比如:
記住,在這里不要傳遞那些很敏感的數據,因為只要base64解碼就可以看到,除非你還額外加密一層。
Signature
最后一部分是CCC代表的Signature,當然也是字面意思——簽名,base64解碼后,是這個樣子:
它主要決定了Header、Payload有沒有被人篡改;如果內容被篡改,那么這條JWT將會被視為無效。
如何工作
那么,一串JWT如何發揮它的作用呢?正常來說,每一次請求都像圖里這樣就傳入就可以了。
記住內容前面的“Bearer”是固定的,並且還得多加一個空格做分割。
應用場景
基本上絕大部分的人都用JWT做登錄授權,它相比原先的session、cookie來說,更快更安全,跨域也不再是問題,更關鍵的是更加優雅~
當然它也可以用來傳遞數據,只不過我個人覺得做傳輸不太好用(實際上我想市場也這么覺得),原因幾點:
1、如果是公開展示數據的話,我何必先加簽才返回呢?
2、如果是私密數據的話,人家base64解碼就能看到,不合適吧?即便我把payload內容加密,可這樣一來就加密好幾次了,我直接用別的加密手段它不香么?
或許是目前的業務需求並沒有很契合,童鞋們遇到了可以一起討論下。
最后
JWT大概是和 .Net Core 一起進入我視野的,它相對輕便、優雅,對服務器基本沒依賴,所以我基本所有項目的登錄授權都在用它。用它這么久了還沒仔細梳理下,所以今天抽時間寫一篇。沒有翻查什么文獻,也沒有很高大上的詞綴,就是單純以我的角度闡述我對它的認識。回頭再補一篇JWT在.Net Core的實現。