JWT(JSON Web令牌)

JSON Web Token（JWT）是目前最流行的跨域身份验证解决方案

1.跨域身份验证

传统cookie+session的方式没有分布式架构，支持横向扩展成本高。比如统一的session数据库，也有单点问题。

2. JWT的原则

在服务器身份验证之后，将生成一个JSON对象并将其发送回客户端，当客户端与服务器通信时，客户端在请求中发回JSON对象。
服务器仅依赖于这个JSON对象来标识用户。为了防止用户篡改数据，服务器将在生成对象时添加签名。
服务器不保存任何会话数据，即服务器变为无状态，使其更容易扩展。

架构图

3.JWT常用签名算法

3.1 Base64URL算法

该算法和常见Base64算法类似，稍有差别。
作为令牌的JWT可以放在URL中，Base64中用的三个字符是"+"，"/“和”="，由于在URL中有特殊含义，因此Base64URL中对他们做了替换："=“去掉，”+“用”-“替换，”/“用”_"替换。

3.2 HMAC SHA256（写为HS256）

4.JWT客户端存储

一般存储在Cookie或localStorage中。

5.JWT其他特性

• JWT消息主体默认不加密
• 可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。
• JWT的最大缺点是服务器不保存会话状态，一旦JWT签发，在有效期内将会一直有效，服务端没法更改其状态。
• JWT本身包含认证信息，因此一旦信息泄露，危害极大，所以其有效期不宜设置太长。某些重要操作，需要二次加强验证
• 为了减少盗用和窃取，建议使用加密的HTTPS协议进行传输。