JSON Web Token

一: 跨域认证问题

　　流程:

　　　　1 用户向服务器发送用户名和密码

　　　　2 服务器验证通过后,在当前对话(session)里面报错相关数据,

　　　　3 服务器向用户返回一个session_id,写入用户的Cookie

　　　　4 用户随后的每一次请求,都会通过Cookie,将session_id传回服务器

　　　　5 服务器收到session_id,找到前期保存的数据,由此得知用户的身份

　　这种模式的扩展性不好,单机没有问题,服务器

集群,或者使跨域的服务导向架构,就要求session数据共享,每台服务器都能够读取到sesssion

　　列如:A网站和B网站都是一家公司的,现在要求,用户只能在其中一个网站登录,在访问另一个网站就会自动登录,请问怎么实现的

　　一种解决方案是session数据持久化,写入数据库或别的持久层,各种服务收到请求后,都会向持久层请求数据,这种方案的优点是架构清晰,缺点是工程量比较大,另外,持久层万一挂了,就会单点失败

　　另一种方案就是服务器不保存session数据了,所有数据保存在客户端,每次请求都发回服务器,JWT就是这一种方案的一个代表

　

二: JWT的原理

　　服务器认证以后,生成一个JSON对象,发回给用户,以后,用户与服务器通信的时候,都要发回这个JSON对象,服务器完全只靠这个对象认定用户身份,为了防止用户篡改数据,服务器在生成这个对象时候会加上签名

　　服务器就不保存任何session数据了,也就是服务器变成无状态,从而比较容易实现拓展

三:JWT的数据结构

　　JWT的三个部分:

　　　　Header(头部)

　　　　　　Header 部分是一个 JSON 对象，描述 JWT 的元数据，通常是下面的样子。　

{
  "alg": "HS256",
  "typ": "JWT"
}

　　　　　　上面代码中，alg属性表示签名的算法（algorithm），默认是 HMAC SHA256（写成 HS256）；typ属性表示这个令牌（token）的类型（type），JWT 令牌统一写为JWT.

　　　　　　对它进行Base64编码后形成的字符串就成了JWT的header（头部）。

　　　　Payload(负载)

　　　　　　Payload 部分也是一个 JSON 对象，用来存放实际需要传递的数据。JWT 规定了7个官方字段，供选用

iss (issuer)：签发人
exp (expiration time)：过期时间
sub (subject)：主题
aud (audience)：受众
nbf (Not Before)：生效时间
iat (Issued At)：签发时间
jti (JWT ID)：编号

　　　　　　

{

"iss": "Kathy Yang JWT",

"iat": 1455624102,

"exp": 1475632522,

"aud": "www.example.com",

"sub": " jrocket@examp

"Givename": "Smark",

"Surname": "Kathy"

}

　　　　　　注意，JWT 默认是不加密的，任何人都可以读到，所以不要把秘密信息放在这个部分

　　　　　　将上面的JSON 对象进行Base64 编码可以得到一串字符串。这个字符串我们将它称作 JWT的Payload（载荷）。

　　　　Signature(签名)　

　　　　　　Signature 部分是对前两部分的签名，防止数据篡改。 首先，需要指定一个密钥（secret）。这个密钥只有服务器才知道，不能泄露给用户。然后，使用 Header 里面指定的签名算法（默认是 HMAC SHA256），按照下面的公式产生签名

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

　　　　　　算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串，每个部分之间用"点"（.）分隔，就可以返回给用户。

四:JWT的使用方法

　　客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。 此后，客户端每次与服务器通信，都要带上这个 JWT。你可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求的头信息Authorization字段里面。

　　另一种做法是，跨域的时候，JWT 就放在 POST 请求的数据体里面。

五:JWT的特点

　　（1）JWT 默认是不加密，但也是可以加密的。生成原始 Token 以后，可以用密钥再加密一次。

　　（2）JWT 不加密的情况下，不能将秘密数据写入 JWT。

　　（3）JWT 不仅可以用于认证，也可以用于交换信息。有效使用 JWT，可以降低服务器查询数据库的次数。

　　（4）JWT 的最大缺点是，由于服务器不保存 session 状态，因此无法在使用过程中废止某个 token，或者更改 token 的权限。也就是说，一旦 JWT 签发了，在到期之前就会始终有效，除非服务器部署额外的逻辑。

　　（5）JWT 本身包含了认证信息，一旦泄露，任何人都可以获得该令牌的所有权限。为了减少盗用，JWT 的有效期应该设置得比较短。对于一些比较重要的权限，使用时应该再次对用户进行认证。

　　（6）为了减少盗用，JWT 不应该使用 HTTP 协议明码传输，要使用 HTTPS 协议传输。