【微服务】JWT令牌原理

什么是JWT

JSON Web Token（JWT）是一个开放的行业标准（RFC 7519），它定义了一种简洁的、自包含的协议格式，用于在通信双方传递JSON对象，传递的信息经过数字签名可以被验证和信任。
JWT可以使用HMAC算法或使用RSA的公钥/私钥对来签名，防止被篡改。

JWT令牌示例

JWT令牌结构

Header

头部包括令牌的类型（即JWT）及使用的哈希算法。

{
  "typ": "JWT",
  "alg": "HS512"
}

将上边的内容使用base64UrlEncode编码，得到一个字符串就是JWT令牌的第一部分。

String s = "{\"typ\":\"JWT\",\"alg\":\"HS512\"}";
String encodeToString = Base64.getEncoder().encodeToString(s.getBytes());
System.out.println(encodeToString);

Payload

第二部分是负载，内容也是一个JSON对象，它是存放有效信息的地方，它可以存放JWT提供的现成字段，比 如：iss（签发者）,exp（过期时间戳）, sub（面向的用户）等，也可自定义字段。
此部分不建议存放敏感信息，因为可以解码还原原始内容。

{
  "userInfo": "4028d08181d93e1f0181d93e587e0000",
  "exp": 1657421554
}

Signature

第三部分是签名，此部分用于防止JWT内容被篡改。 这个部分使用base64UrlEncode将前两部分进行编码，编码后使用点（.）连接组成字符串，最后使用header中声明 签名算法进行签名。

HMACSHA512(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  your-secret
)

• base64UrlEncode(header)：JWT令牌的第一部分。
• base64UrlEncode(payload)：JWT令牌的第二部分。
• your-secret：签名所使用的密钥。
  JWT三个部分只有第三部分是加密的，通过数字签名机制，我们既可以保证数据完整性，也可以对数据来源进行身份验证。