尽管JWT可以被加密以在各方之间提供保密性,但我们将重点关注签名令牌。签名令牌可以验证其中包含的声明的完整性,而加密令牌对其他方隐藏这些声明。当使用公钥/私钥对令牌进行签名时,签名还证明只有持有私钥的一方才是签名方。
{"alg": "HS256","typ": "JWT"}
Payload
Token令牌的第二部分是有效负载,其中包含声明。声明是关于实体(通常是用户)和附加数据的声明。有三种类型的声明:registered, public, and private claims.
Registered claims: :这些声明是一组预定义的声明,不是强制性的,而是推荐的,以提供一组有用的、可互操作的声明。其中一些是:iss (issuer), exp (expiration time), sub (subject), aud (audience), and others.。 请注意,声明名称只有三个字符长,因为JWT是紧凑的。 Public claims: 这些声明可以由使用JWTs的人随意定义。但是为了避免冲突,应该在IANA JSON Web Token Registry中定义它们,或者将它们定义为包含防冲突命名空间的URI Private claims: 这些自定义声明是为了在同意使用它们的各方之间共享信息而创建的,既不是注册声明,也不是公开声明。
一个示例有效载荷可以是:
{"sub": "1234567890","name": "John Doe","admin": true}
然后对有效负载进行Base64Url编码,以形成JSON Web令牌的第二部分。
请注意,对于签名的token令牌,此信息尽管受到了防篡改保护,但任何人都可以读取。除非经过加密,否则不要将机密信息放入JWT的有效负载或头元素中。
Signature
要创建签名部分,您必须获取编码的标头、编码的有效负载、一个secret、标头中指定的算法,并对其进行签名。
例如,如果要使用HMAC SHA256算法,将按以下方式创建签名:
HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secret)
签名用于验证消息在发送过程中没有被更改,并且,对于使用私钥签名的令牌,它还可以验证JWT的发送者是否是它所说的人。
把所有在一起
输出是三个由点分隔的Base64 URL字符串,这些字符串可以在HTML和HTTP环境中轻松传递,同时与基于XML的标准(如SAML)相比更加紧凑。
下面显示了一个JWT,该JWT对前一个头和有效负载进行了编码,并使用secret密钥签名。
如果您想使用JWT并将这些概念付诸实践,可以使用 jwt.io Debugger 来解码、验证和生成JWT。(jwt.io Debugger在这:https://jwt.io/#debugger-io)
■ ■■■■
由于缺乏安全性,您也不应该在浏览器存储中存储敏感的会话数据。
当用户希望访问受保护的路由或资源时,用户代理应该发送JWT,通常是在使用Bearer schema的Authorization header中。header的内容应该如下所示:
Authorization: Bearer <token>
在某些情况下,这可能是一种无状态授权机制。服务器的受保护路由将检查头中是否存在有效的JWT,如果存在,则允许用户访问受保护的资源。如果JWT包含必要的数据,可能会减少查询数据库中某些操作的需要,尽管情况并非总是如此。
如果令牌在标头中发送,则跨源资源共享(CORS)不会成为问题,因为它不使用Cookie.
下图显示了如何获取JWT并将其用于访问API或资源:
/oauth/authorize