JWT工具理解

token的颁发:使用JWT工具.

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案,JWT（Json Web Token） 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源。比如用在用户登录上.

JWT的原则:

JWT的原则是在服务器身份验证之后，将生成一个JSON对象并将其发送回用户,之后，当用户与服务器通信时，客户在请求中发回JSON对象。服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据，服务器将在生成对象时添加签名.
JWT的数据结构:

1.公共部分:
alg属性表示签名使用的算法，默认为HMAC SHA256（写为HS256）；typ属性表示令牌的类型，JWT令牌统一写为JWT。最后，使用Base64 URL算法将上述JSON对象转换为字符串保存,即第"1"部分.

2.私有部分:
是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。 JWT指定七个默认字段供选择.
iss：发行人
exp：到期时间
sub：主题
aud：用户
nbf：在此之前不可用
iat：发布时间
jti：JWT ID用于标识该JWT
除以上默认字段外，我们还可以自定义私有字段,根据实际需要真正要封装的信息.(

),JSON对象也使用Base64 URL算法转换为字符串保存

3.签名部分(签名哈希)
签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。
首先，需要指定一个密码（secret）。该密码仅仅为保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名。
HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload),secret)
如果想知道JWT是否是真实的只要把JWT的信息取出来，加上盐值和服务器中的密钥就可以验证真伪。所以不管由谁保存JWT，只要没有密钥就无法伪造。
4.base64编码
并不是加密，只是把明文信息变成了不可见的字符串。但是其实只要用一些工具就可以吧base64编码解成明文，所以不要在JWT中放入涉及私密的信息，因为实际上JWT并不是加密信息。jWT默认不加密，但可以加密.

JWT的用法:

客户端接收服务器返回的JWT，将其存储在Cookie或localStorage中。此后，客户端将在与服务器交互中都会带JWT。如果将它存储在Cookie中，就可以自动发送，但是不会跨域，因此一般是将cookie放在顶级域名下.

JWT的优缺点:

1.JWT不仅可用于认证，还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
2.JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。
3.JWT本身包含认证信息，因此一旦信息泄露，任何人都可以获得令牌的所有权限。为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。
4.为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输。
5.JWT默认不加密，但可以加密。生成原始令牌后，可以使用改令牌再次对其进行加密。
6.当JWT未加密方法是，一些私密数据无法通过JWT传输。

获得的token如下,JWT对象.利用"3"签名,验证当前的token是否正确,若果正确解压中token中"2"私有的部分,获得用户信息,如果正确获得用户信息,说明用户是登入状态,如果后期不到用户信息后者验证签名失败出现异常,说明此时用户携带的token已经过期.需要重新登入.

个人理解,有误还望大家指教