JWT（JSON Web Token）原理、使用方法及使用注意事项

JWT（JSON Web Token）是目前比较流行的一种身份认证解决方式，下面详细的介绍下原理、用法和局限性。

JWT 原理

JWT本质上就是一个字符串，客户端提交账号密码（或其他凭证）到服务器，服务器认证通过以后根据一些规则生成一个字符串并返回给客户端，客户端随后的每次接口请求都将这个字符串传给服务端，服务端拿到这个字符串后经过解析校验，最终获取到用户的身份，服务端是不需要保存这个字符串。

下面是一个常规的 JWT：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.cThIIoDvwdueQB468K5xDc5633seEFoqwxjF_xSJyQQ

可以看出 JWT 是被点`.`分隔成三个部分的字符串。JWT 的三个部分依次如下：

Header（头部）

Payload（负载）

Signature（签名）

基本结构就是`Header.Payload.Signature`。

Header 部分

Header 部分经过解析后是一个 JSON 对象，用来描述 JWT 的元数据，一般结构如下：

{
	"alg": "HS256",
	"typ": "JWT"
}

alg 属性表示签名的算法（algorithm），默认是 HMAC SHA256；typ属性表示 token 的类型（type）。将 JSON 对象使用 Base64URL 算法转成字符串。

Payload

Payload 部分经过解析后也是一个 JSON 对象，用来存放用户身份相关数据。例如：

{
	"sub": "1234567890",
	"name": "路多辛",
	"admin": true
}

将 JSON 对象使用 Base64URL 算法转成字符串。

Signature

Signature 部分是对前两部分的签名，防止数据被篡改。首先需要指定一个密钥（这个密钥必须要存放在服务器端，不能泄露给客户端），然后使用 Header 里面指定的签名算法（默认是 HMAC SHA256）按照下面的公式计算出签名。

HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)

计算出签名以后，把 Header、Payload、Signature 三个部分拼成一个字符串（每个部分之间用点`.`分隔）后返回给客户端。

使用 JWT 需要注意的点

1. JWT 的 Payload（载荷）部分是使用 Base64Url 算法进行编码的，而不是加密的。如果 JWT 被截获，是可以被解码的，因此，敏感信息不应该放在 Payload 中。
2. JWT 的过期时间通常在 Token 生成时就已经设定好了并且服务器端无法使其提前失效，如果 Token 泄露了，攻击者可以在 Token 过期之前进行操作。
3. JWT 本身包含了认证信息，为了保障安全起见，JWT 的有效期应该设置得比较短。
4. JWT 通常比其他类似的令牌要大，因为包含了 Header、Payload 和 Signature，会增加一定的网络负载。