码迷,mamicode.com
首页 > 其他好文 > 详细

学习JWT

时间:2018-10-05 17:26:20      阅读:205      评论:0      收藏:0      [点我收藏+]

标签:token   不同   uil   reserve   header   algo   声明   signature   lin   

定义

JWT(Json Web Token)广义上是一个标准名称,狭义上是指用来传递token的字符串。

结构

JWT由三个部分组成:header(头部)、payload(载荷)和signature(签名)。

  • header:描述JWT最基本信息,如类型(type)和签名所用的算法(algorithm)

{

"alg": "HS256",

"typ": "JWT"

}

  • payload:用来承载要传递的数据,它的json结构实际上是对JWT要传递的数据的一组声明,这些声明被JWT标准称为claims,它的一个“属性值对”其实就是一个claim,每一个claim的都代表特定的含义和作用。

{
"iss": "Online JWT Builder",

"exp": 1448333419,

"aud": "www.example.com",

"sub": "jrocket@example.com",

"Role": [ "Manager", "Project Administrator" ]

}

根据JWT的标准,这些claims可以分为以下三种类型: a. Reserved claims(保留,JWT标准规定的)b.Public claims c.Private claims(自定义的claims)。
把这个json结构做base64url编码之后,就能生成payload部分的串.

  • signature:签名是把header和payload对应的json结构进行base64url编码之后得到的两个串用英文句点号拼接起来,然后根据header里面alg指定的签名算法生成出来的。

验证过程

  • 首先把header做base64url解码,得到JWT用的什么算法做的签名;
  • 然后用这个算法,再次用同样的逻辑对header和payload做一次签名,并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同,只要不同,就可以认为这个JWT是一个被篡改过的串,自然就属于验证失败了;
  • 完成解码并验证签名通过后,对payload中的claim(exp、nbf、aud等)信息进行验证;
  • 全部通过后,根据获取的用户的角色权限信息,进行对请求的资源的权限逻辑判断;
  • 如果权限逻辑判断通过则通过Response对象返回;否则则返回HTTP 401。

参考这里

参考这里

学习JWT

标签:token   不同   uil   reserve   header   algo   声明   signature   lin   

原文地址:https://www.cnblogs.com/mercycnblog/p/9745111.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!