JWT是JSON Web Tokens的縮寫。既然叫JSON Web Tokens，所以JWT Tokens中真正包含的是多個JSON對象。為什么是多個JSON對象呢？因為SWT Token實際上是由三部分組成，其中有兩部分是JSON格式。這三部分即頭（Header）、負載數(shù)據(jù)（Payload）、簽名（Signature）。

網站建設哪家好，找創(chuàng)新互聯(lián)建站！專注于網頁設計、網站建設、微信開發(fā)、小程序制作、集團企業(yè)網站建設等服務項目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了虎丘免費建站歡迎大家使用！

?

1、信息頭（Header）

頭信息包含兩部分，一部分表示Token的類型，對于JWT來說，值為JWT；另一部分表示簽名算法，如，HMAC、SHA256、RSA。示例如下：

?

2、負載信息（Payload）

負載信息是對實體與附加信息的說明。包含注冊聲明、公開聲明、私有聲明三部分。詳情請參考：https://tools.ietf.org/html/rfc7519#section-4.2

3、簽名（Signature）

通過指定的算法將頭、負載、密碼信息作為輸入條件，計算而得的一個字符串。

這三部分信息不是原文傳輸?shù)?。在傳輸以前，先要進行轉碼壓縮。這樣做一是為了使傳輸?shù)膖oken數(shù)據(jù)體積小，減少數(shù)據(jù)傳輸?shù)呢摀菫榱耸箶?shù)據(jù)更安全。JWT Token一般可以采用HMAC算法使用密碼進行轉碼壓縮，或采用RSA或ECDSA使用公鑰/私鑰對進行轉碼。這兩種算法均具有數(shù)字簽名的作用，從而能夠保證數(shù)據(jù)的完整性，防止數(shù)據(jù)被第三方篡改。

?

JSON格式的頭信息和負載信息一般先要進行Base64編碼轉化。然后通過以下的算法獲得簽名：

?

假定頭信息Base64編碼轉化后的字符用h表示，Base64編碼轉化后的負載數(shù)據(jù)信息用p表示，簽名值用s表示，則JWT Token顯示為一串用逗號分隔的字符串，一般有如下的形式：

hhhhh.ppppp.sssss

JWT最常用的應用場景是為用戶授權。用戶在登錄時，從授權服務器拿到JWT Token，后續(xù)的用戶請求只要攜帶此Token請求相應的資源或服務即可。服務端會在拿到用戶傳的Token后，進行合法性驗證。

JWT另一個用途就是進行信息交換。由于JWT Token既可以用于承載數(shù)據(jù)，又是經過簽名的，所以，既可以包含更多的應用相關信息，又可以保證數(shù)據(jù)的安全性，防止數(shù)據(jù)被攔截后修改。

更詳細的介紹，請參考官方說明：https://jwt.io/introduction/

另外有需要云服務器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn，海內外云服務器15元起步，三天無理由+7*72小時售后在線，公司持有idc許可證，提供“云服務器、裸金屬服務器、高防服務器、香港服務器、美國服務器、虛擬主機、免備案服務器”等云主機租用服務以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務可用性高、性價比高”等特點與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應用場景需求。

分享題目：服務安全之：JWT-創(chuàng)新互聯(lián)
本文鏈接：http://weahome.cn/article/dehhsg.html