JSON Web Token（縮寫 JWT）是目前最流行的跨域認證解決方案，本文介紹它的原理和用法。

跨域認證的問題

互聯網服務離不開用戶認證。一般流程是下面這樣。

1、用戶向服務器發送用戶名和密碼。

2、服務器驗證通過后，在當前對話（session）里面保存相關數據，比如用戶角色、登錄時間等等。

3、服務器向用戶返回一個 session_id，寫入用戶的 Cookie。

4、用戶隨后的每一次請求，都會通過 Cookie，將 session_id 傳回服務器。

5、服務器收到 session_id，找到前期保存的數據，由此得知用戶的身份。

這種模式的問題在于，擴展性（scaling）不好。單機當然沒有問題，如果是服務器集群，或者是跨域的服務導向架構，就要求 session 數據共享，每臺服務器都能夠讀取 session。

舉例來說，A 網站和 B 網站是同一家公司的關聯服務?，F在要求，用戶只要在其中一個網站登錄，再訪問另一個網站就會自動登錄，請問怎么實現？

一種解決方案是 session 數據持久化，寫入數據庫或別的持久層。各種服務收到請求后，都向持久層請求數據。這種方案的優點是架構清晰，缺點是工程量比較大。另外，持久層萬一掛了，就會單點失敗。

另一種方案是服務器索性不保存 session 數據了，所有數據都保存在客戶端，每次請求都發回服務器。JWT 就是這種方案的一個代表。

JWT 的原理

JWT 的原理是，服務器認證以后，生成一個 JSON 對象，發回給用戶，就像下面這樣。

{"姓名": "張三","角色": "管理員","到期時間": "2018年7月1日0點0分"}

以后，用戶與服務端通信的時候，都要發回這個 JSON 對象。服務器完全只靠這個對象認定用戶身份。為了防止用戶篡改數據，服務器在生成這個對象的時候，會加上簽名（詳見后文）。

服務器就不保存任何 session 數據了，也就是說，服務器變成無狀態了，從而比較容易實現擴展。

JWT 的數據結構

實際的 JWT 大概就像下面這樣。

它是一個很長的字符串，中間用點（.）分隔成三個部分。注意，JWT 內部是沒有換行的，這里只是為了便于展示，將它寫成了幾行。

JWT 的三個部分依次如下。

• Header（頭部）
• Payload（負載）
• Signature（簽名）

寫成一行，就是下面的樣子。

Header.Payload.Signature

下面依次介紹這三個部分。

Header

Header 部分是一個 JSON 對象，描述 JWT 的元數據，通常是下面的樣子。

{"alg": "HS256","typ": "JWT"}

上面代碼中，alg屬性表示簽名的算法（algorithm），默認是 HMAC SHA256（寫成 HS256）；typ屬性表示這個令牌（token）的類型（type），JWT 令牌統一寫為JWT。

本頁內容由塔燈網絡科技有限公司通過網絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網頁中由涉嫌抄襲的內容，請及時與我們聯系，并提供相關證據，工作人員會在5工作日內聯系您，一經查實，本站立刻刪除侵權內容。本文鏈接:http://www.junxiaosheng.cn/21351.html