jwttoken原理

jwttoken原理
JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在网络应用间传递信息，以便确保数据的安全性和可靠性。

JWT是一种紧凑的、自包含的方式，用于在各方之间安全地传输信息。

它主要由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

1. 头部（Header）：
头部通常由两部分组成：令牌的类型（JWT）和所使用的签名算法，如HMAC SHA256或RSA。

```json
{
"alg": "HS256",
"typ": "JWT"
}
```
上述例子表示使用HMAC SHA256算法进行签名，并且令牌的类型是JWT。

2. 载荷（Payload）：
载荷包含有关用户或其他实体的信息，以及额外的元数据。

载荷可以被分为三个部分：
-注册声明（Registered Claims）：这是一组预定义的声明，它们不是必需的，但提供了有关JWT的有用信息。

例如，iss（issuer，发布者）、exp（expiration time，过期时间）等。

-私有声明（Private Claims）：这是用户定义的声明，用于在JWT中传递有关用户的信息。

但是为了避免冲突，应该使用唯一的名字，或者定义在JWT注册表中的名字。

-公共声明（Public Claims）：这是一组可以被任意使用者定义的声明，用于在JWT中传递有关信息的标准。

```json
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
```
上述例子包含了用户的唯一标识（sub）、姓名（name）和令牌的发布时间（iat）。

3. 签名（Signature）：
为了创建签名部分，你需要将编码后的头部、编码后的载荷、以及一个秘密（只有服务端知道的密钥）通过指定的算法进行加密。

签名用于验证消息的来源以及消息是否在传递的过程中是否被篡改。

将三部分组合成JWT：
1. 将头部和载荷使用Base64编码。

2. 使用一个秘密（或私钥）以及指定的算法对编码后的头部和载荷进行签名。

3. 将签名结果追加到编码后的头部和载荷，形成最终的JWT。

最终的JWT将以如下形式呈现：
```
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiAiMTIzNDU2Nzg5MCIsICJuYW1lIjogIkpvaG4gR G9lIiwgImlhdCI6IDE1MTYyMzkwMjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
```
在接收到JWT后，验证者可以使用相同的秘密（或公钥）和算法来验证签名，并且解码Base64编码的头部和载荷。

验证者可以通过检查令牌的签名是否有效来确认令牌的真实性，以及通过检查过期时间等来确认令牌的有效期。

JWT的优点包括其简洁性、自包含性、易于传输和使用场景的灵活性。

然而，要确保在使用过程中安全性，例如使用HTTPS协议传输，以及在使用过程中合理处理令牌的过期、刷新等问题。