如何才能初步的理解JWT？

像博主一样从完全不懂到懵懂的一小步。

为什么要提JWT？

其实一开始看到这个名字我是拒绝的，就好像让一个一直努力码代码的前端新人来拥抱模块化编程一样，

我为什么要知道它，为什么它就那么好？

言归正传，JWT 全称 JSON WEB TOKEN，是一套开放的标准（RFC 7519），它定义了一套简洁的（compact）、自包含的（self-contained）方案，来让我们安全地在客户端和服务器之间传递 JSON 格式的信息。

说白了，就是一种基于 token 的认证方案。

基于token

或许在这个意义上，你需要自行百度了解一些概念: 

SPA 单页面应用，RESTful风格API，CRSF，OAuth 2.0

上述提及的概念比较多，但是如果不了解一下就会回到全文最开始的悖论。简而言之，SPA单页面应用对用户体验的较之服务端渲染要好的多，成为前端开发发展的一个重要的趋势，而随之而来的安全方面的考虑则变得尤为重要起来。

目前的SPA单页面应用获取数据大多是通过类AJAX的方式传输的，而且考虑到负载均衡的各方面因素，很难使用原始的服务端section的方式储存各类验证信息。所以基于token的验证方式应运而生。

Token Auth 机制优势 

1. 支持跨域

2. 无状态

3. 更适用于移动应用（当客户端是原生应用时，Cookie支持不佳）

4. 安全性更强，可以防范常见的CSRF（跨站请求伪造）

5. 有完善的业界标准（后文将提到的JWT）

其实优势自然还有很多，这里不一一列举，总而言之，Token Auth机制的好处非常多，尤其是在SPA单页面应用上有着无可替代的位置。

JWT的基本概念

说了那么多 废话 ，就是为了主角JWT，作为Token Auth 机制的一种业内标准，JWT这种基于json格式传输数据的验证方式使得其应用场景非常之多（json格式的好处不必多说了哈）。

JWT 由三部分组成：header / payload / signature

三个部分中间用点分隔开，并且都使用 Base64 编码，所以生成的 Token 类似这样：

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIkhTMjU2Igp9.ewogImlzcyI6ICJjaGJsb2dzLmNvbSIsCiAiZXhwIjogIjE0NzA3MzAxODIiLAogInVpZCI6ICIxMjM0NWFiY2RlIiwKfQ.9q2eq8sa374ao2uq9607r6qu6

(内心os:什么鬼，别急，待我一一道来)

1. Header 

首先声明一个 JSON 对象，对象里有一个 type 属性，值为 JWT ，以及 alg 属性，值为 HS256，表明最终使用的加密算法是 HS256。

{

  "alg": "HS256",

  "type": "JWT"

}

2. Payload

Payload 里面是 Token 的具体内容，这部分内容可以自定义，JWT有标准字段，也可以添加其它需要的内容。

标准字段：

iss：Issuer，发行者

sub：Subject，主题

aud：Audience，观众

exp：Expiration time，过期时间

nbf：Not before

iat：Issued at，发行时间

jti：JWT ID

这是一个典型的payload信息，包含了发行者（网站）、过期时间和用户id：

{

"iss": "jianshu.com",

"exp": "1470730182",

"uid": "12345abcde",

}

这部分内容同样要用Base64 编码，生成编码类似如下格式：

ewogImlzcyI6ICJjaGJsb2dzLmNvbSIsCiAiZXhwIjogIjE0NzA3MzAxODIiLAogInVpZCI6ICIxMjM0NWFiY2RlIiwKfQ==

3. Signature

它由前面在 Header 指定的算法 HS256 加密两个参数构成，第一个参数是经过编码的 Header 与经过编码的 Payload 通过 . 连接之后的字符串，第二个参数是生成的密钥，会由服务器保存。每次服务器接收到 token 之后，也是先解密出用于验证的用户信息以及密钥，再与自己保存的密钥对比是否相同，以此来验证用户的身份。

将Base64编码后的Header和Payload用.连接在一起

ewogICJ0eXAiOiAiSldUIiwKICAiYWxnIjogIkhTMjU2Igp9.ewogImlzcyI6ICJjaGJsb2dzLmNvbSIsCiAiZXhwIjogIjE0NzA3MzAxODIiLAogInVpZCI6ICIxMjM0NWFiY2RlIiwKfQ

接下来，可能会写JWT的工作流程以及如何使用JWT等文章，敬请期待。

文章延伸阅读

深入RESTful无状态原则

RESTful_基础知识

理解OAuth 2.0

Server 端的认证——拥抱 JWT（一）