前言

初次了解JWT，很基礎(chǔ)，高手勿噴。

基于Token的身份驗(yàn)證用來(lái)替代傳統(tǒng)的cookie+session身份驗(yàn)證方法中的session。

token應(yīng)用流程為：

1、初次登錄：用戶初次登錄，輸入用戶名密碼。

2、密碼驗(yàn)證：服務(wù)器從數(shù)據(jù)庫(kù)取出用戶名和密碼進(jìn)行驗(yàn)證。

3、生成JWT：服務(wù)器端驗(yàn)證通過(guò)，根據(jù)從數(shù)據(jù)庫(kù)返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT。

4、返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還。

5、帶JWT的請(qǐng)求：以后客戶端發(fā)起請(qǐng)求，HTTP REQUEST HEADER中的Authorization字段都要有值，為JWT，用來(lái)驗(yàn)證用戶身份以及對(duì)路由，服務(wù)和資源的訪問(wèn)權(quán)限進(jìn)行驗(yàn)證。請(qǐng)求驗(yàn)證的url可以例如：http://127.0.0.1:8083/change/goodsMenu? token=JWT

JWT是啥？

JWT就是一個(gè)字符串，經(jīng)過(guò)加密處理與校驗(yàn)處理的字符串，形式為：

A.B.C

A由JWT頭部信息header加密得到

B由JWT用到的身份驗(yàn)證信息json數(shù)據(jù)加密得到

C由A和B加密得到，是校驗(yàn)部分

怎樣生成A？

header格式為：

{
 "typ": "JWT",
 "alg": "HS256" 
}

它就是一個(gè)json串，兩個(gè)字段是必須的，不能多也不能少。alg字段指定了生成C的算法，默認(rèn)值是HS256

將header用base64加密，得到A

通常，JWT庫(kù)中，可以把A部分固定寫(xiě)死，用戶最多指定一個(gè)alg的取值

怎樣計(jì)算B？

根據(jù)JWT claim set[用base64]加密得到的。claim set是一個(gè)json數(shù)據(jù)，是表明用戶身份的數(shù)據(jù)，可自行指定字段很靈活，也有固定字段表示特定含義（但不一定要包含特定字段，只是推薦）。

這里偷懶，直接用php中的代碼來(lái)表示claim set了，重在說(shuō)明字段含義:

$token = array(
 "iss" => "http://example.org", #非必須。issuer 請(qǐng)求實(shí)體，可以是發(fā)起請(qǐng)求的用戶的信息，也可是jwt的簽發(fā)者。
 "iat" => 1356999524,    #非必須。issued at。 token創(chuàng)建時(shí)間，unix時(shí)間戳格式
 "exp" => "1548333419",   #非必須。expire 指定token的生命周期。unix時(shí)間戳格式
 "aud" => "http://example.com", #非必須。接收該JWT的一方。
 "sub" => "jrocket@example.com", #非必須。該JWT所面向的用戶
 "nbf" => 1357000000, # 非必須。not before。如果當(dāng)前時(shí)間在nbf里的時(shí)間之前，則Token不被接受；一般都會(huì)留一些余地，比如幾分鐘。
 "jti" => '222we',  # 非必須。JWT ID。針對(duì)當(dāng)前token的唯一標(biāo)識(shí)

 "GivenName" => "Jonny", # 自定義字段
 "Surname" => "Rocket", # 自定義字段
 "Email" => "jrocket@example.com", # 自定義字段
 "Role" => ["Manager", "Project Administrator"] # 自定義字段
);

JWT遵循RFC7519，里面提到claim set的json數(shù)據(jù)中，自定義字段的key是一個(gè)string，value是一個(gè)json數(shù)據(jù)。因此隨意編寫(xiě)吧，很靈活。

個(gè)人初學(xué)，認(rèn)為一個(gè)最基本最簡(jiǎn)單最常用的claim set為：

$token=array(
 "user_id" => 123456, #用戶id，表明用戶
 "iat" => 1356999524, #token發(fā)布時(shí)間
 "exp" => 1556999524, #token過(guò)期時(shí)間
);

將claim set加密后得到B，學(xué)名payload

怎樣計(jì)算C？

將A.B使用HS256加密（其實(shí)是用header中指定的算法），當(dāng)然加密過(guò)程中還需要密鑰（自行指定的一個(gè)字符串）。
加密得到C，學(xué)名signature，其實(shí)就是一個(gè)字符串。作用類似于CRC校驗(yàn)，保證加密沒(méi)有問(wèn)題。

好了，現(xiàn)在A.B.C就是生成的token了。

怎樣使用token？

可以放到HTTP請(qǐng)求的請(qǐng)求頭中，通常是Authorization字段。
也有人說(shuō)放到cookie。不過(guò)移動(dòng)端app用cookie似乎不方便。

token應(yīng)用流程？

初次登錄：用戶初次登錄，輸入用戶名密碼

密碼驗(yàn)證：服務(wù)器從數(shù)據(jù)庫(kù)取出用戶名和密碼進(jìn)行驗(yàn)證

生成JWT：服務(wù)器端驗(yàn)證通過(guò)，根據(jù)從數(shù)據(jù)庫(kù)返回的信息，以及預(yù)設(shè)規(guī)則，生成JWT

返還JWT：服務(wù)器的HTTP RESPONSE中將JWT返還

帶JWT的請(qǐng)求：以后客戶端發(fā)起請(qǐng)求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，為JWT

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，如果有疑問(wèn)大家可以留言交流，謝謝大家對(duì)腳本之家的支持。