JWT的構成

一個JWT實際上就是一個字符串，它由三部分組成，頭部、載荷與簽名。

頭部（Header）

頭部用于描述關于該JWT的最基本的信息，例如其類型以及簽名所用的算法等。這也可以被表示成一個JSON對象。

{"typ":"JWT","alg":"HS256"}

在頭部指明了簽名算法是HS256算法。 我們進行BASE64編碼http://base64.xpcha.com/，編碼后的字符串如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

小知識：Base64是一種基于64個可打印字符來表示二進制數據的表示方法。由于2的6次方等于64，所以每6個比特為一個單元，對應某個可打印字符。三個字節有24個比特，對應于4個Base64單元，即3個字節需要用4個可打印字符來表示。JDK 中提供了非常方便的?BASE64Encoder?和?BASE64Decoder，用它們可以非常方便的完成基于 BASE64 的編碼和解碼

載荷（playload）

載荷就是存放有效信息的地方。這個名字像是特指飛機上承載的貨品，這些有效信息包含三個部分

（1）標準中注冊的聲明（建議但不強制使用）

iss: jwt簽發者 sub: jwt所面向的用戶 aud: 接收jwt的一方 exp: jwt的過期時間，這個過期時間必須要大于簽發時間 nbf: 定義在什么時間之前，該jwt都是不可用的. iat: jwt的簽發時間 jti: jwt的唯一身份標識，主要用來作為一次性token,從而回避重放攻擊。

（2）公共的聲明

公共的聲明可以添加任何的信息，一般添加用戶的相關信息或其他業務需要的必要信息.但不建議添加敏感信息，因為該部分在客戶端可解密.

（3）私有的聲明

私有聲明是提供者和消費者所共同定義的聲明，一般不建議存放敏感信息，因為base64是對稱解密的，意味著該部分信息可以歸類為明文信息。

這個指的就是自定義的claim。比如下面面結構舉例中的admin和name都屬于自定的claim。這些claim跟JWT標準規定的claim區別在于：JWT規定的claim，JWT的接收方在拿到JWT之后，都知道怎么對這些標準的claim進行驗證(還不知道是否能夠驗證)；而private claims不會驗證，除非明確告訴接收方要對這些claim進行驗證以及規則才行。

定義一個payload:

{"sub":"1234567890","name":"John Doe","admin":true}

然后將其進行base64加密，得到Jwt的第二部分。

eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9

簽證（signature）

jwt的第三部分是一個簽證信息，這個簽證信息由三部分組成：

header (base64后的)

payload (base64后的)

secret

這個部分需要base64加密后的header和base64加密后的payload使用.連接組成的字符串，然后通過header中聲明的加密方式進行加鹽secret組合加密，然后就構成了jwt的第三部分。

TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

將這三部分用.連接成一個完整的字符串,構成了最終的jwt:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYW RtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ

注意：secret是保存在服務器端的，jwt的簽發生成也是在服務器端的，secret就是用來進行jwt的簽發和jwt的驗證，所以，它就是你服務端的私鑰，在任何場景都不應該流露出去。一旦客戶端得知這個secret, 那就意味著客戶端是可以自我簽發jwt了。

?

總結

以上是生活随笔為你收集整理的JWT令牌组成和安全校验讲解的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。