前言
初次了解JWT,很基礎,高手勿噴。
基于Token的身份驗證用來替代傳統的cookie+session身份驗證方法中的session。
token應用流程為:
1、初次登錄:用戶初次登錄,輸入用戶名密碼。
2、密碼驗證:服務器從數據庫取出用戶名和密碼進行驗證。
3、生成JWT:服務器端驗證通過,根據從數據庫返回的信息,以及預設規則,生成JWT。
4、返還JWT:服務器的HTTP RESPONSE中將JWT返還。
5、帶JWT的請求:以后客戶端發起請求,HTTP REQUEST HEADER中的Authorization字段都要有值,為JWT,用來驗證用戶身份以及對路由,服務和資源的訪問權限進行驗證。請求驗證的url可以例如:http://127.0.0.1:8083/change/goodsMenu? token=JWT
JWT是啥?
JWT就是一個字符串,經過加密處理與校驗處理的字符串,形式為:
A.B.C
A由JWT頭部信息header加密得到
B由JWT用到的身份驗證信息json數據加密得到
C由A和B加密得到,是校驗部分
怎樣生成A?
header格式為:
{
"typ": "JWT",
"alg": "HS256"
}
它就是一個json串,兩個字段是必須的,不能多也不能少。alg字段指定了生成C的算法,默認值是HS256
將header用base64加密,得到A
通常,JWT庫中,可以把A部分固定寫死,用戶最多指定一個alg的取值
怎樣計算B?
根據JWT claim set[用base64]加密得到的。claim set是一個json數據,是表明用戶身份的數據,可自行指定字段很靈活,也有固定字段表示特定含義(但不一定要包含特定字段,只是推薦)。
這里偷懶,直接用php中的代碼來表示claim set了,重在說明字段含義:
$token = array(
"iss" => "http://example.org", #非必須。issuer 請求實體,可以是發起請求的用戶的信息,也可是jwt的簽發者。
"iat" => 1356999524, #非必須。issued at。 token創建時間,unix時間戳格式
"exp" => "1548333419", #非必須。expire 指定token的生命周期。unix時間戳格式
"aud" => "http://example.com", #非必須。接收該JWT的一方。
"sub" => "jrocket@example.com", #非必須。該JWT所面向的用戶
"nbf" => 1357000000, # 非必須。not before。如果當前時間在nbf里的時間之前,則Token不被接受;一般都會留一些余地,比如幾分鐘。
"jti" => '222we', # 非必須。JWT ID。針對當前token的唯一標識
"GivenName" => "Jonny", # 自定義字段
"Surname" => "Rocket", # 自定義字段
"Email" => "jrocket@example.com", # 自定義字段
"Role" => ["Manager", "Project Administrator"] # 自定義字段
);
JWT遵循RFC7519,里面提到claim set的json數據中,自定義字段的key是一個string,value是一個json數據。因此隨意編寫吧,很靈活。
個人初學,認為一個最基本最簡單最常用的claim set為:
$token=array(
"user_id" => 123456, #用戶id,表明用戶
"iat" => 1356999524, #token發布時間
"exp" => 1556999524, #token過期時間
);
將claim set加密后得到B,學名payload
怎樣計算C?
將A.B使用HS256加密(其實是用header中指定的算法),當然加密過程中還需要密鑰(自行指定的一個字符串)。
加密得到C,學名signature,其實就是一個字符串。作用類似于CRC校驗,保證加密沒有問題。
好了,現在A.B.C就是生成的token了。
怎樣使用token?
可以放到HTTP請求的請求頭中,通常是Authorization字段。
也有人說放到cookie。不過移動端app用cookie似乎不方便。
token應用流程?
初次登錄:用戶初次登錄,輸入用戶名密碼
密碼驗證:服務器從數據庫取出用戶名和密碼進行驗證
生成JWT:服務器端驗證通過,根據從數據庫返回的信息,以及預設規則,生成JWT
返還JWT:服務器的HTTP RESPONSE中將JWT返還
帶JWT的請求:以后客戶端發起請求,HTTP REQUEST HEADER中的Authorizatio字段都要有值,為JWT
總結
以上就是這篇文章的全部內容了,希望本文的內容對大家的學習或者工作具有一定的參考學習價值,如果有疑問大家可以留言交流,謝謝大家對腳本之家的支持。
您可能感興趣的文章:- SpringBoot集成JWT實現token驗證的流程
- php實現JWT(json web token)鑒權實例詳解
- Laravel (Lumen) 解決JWT-Auth刷新token的問題
- thinkphp框架使用JWTtoken的方法詳解
- Java中使用JWT生成Token進行接口鑒權實現方法
- 詳解JWT token心得與使用實例
- koa+jwt實現token驗證與刷新功能
- Django JWT Token RestfulAPI用戶認證詳解
- spring boot+jwt實現api的token認證詳解
- JWT Token實現方法及步驟詳解
