理解JWT的实现原理和基本使用

个用以产生访问令牌的开源标准JWT，介绍JWT的规范、底层实现原理、基本使用和应用场景。

JWT规范

很可惜维基百科上没有搜索到JWT的条目，但是从jwt.io的首页展示图中，可以看到描述：

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties

从这段文字中可以提取到JWT的规范文件RFC 7519，里面有详细地介绍JWT的基本概念，Claims的含义、布局和算法实现等，下面逐个展开击破。

JWT基本概念

JWT全称是JSON Web Token，如果从字面上理解感觉是基于JSON格式用于网络传输的令牌。实际上，JWT是一种紧凑的Claims声明格式，旨在用于空间受限的环境进行传输，常见的场景如HTTP授权请求头参数和URI查询参数。JWT会把Claims转换成JSON格式，而这个JSON内容将会应用为JWS结构的有效载荷或者应用为JWE结构的(加密处理后的)原始字符串，通过消息认证码(Message Authentication Code或者简称MAC)和/或者加密操作对Claims进行数字签名或者完整性保护。

这里有三个概念在其他规范文件中，简单提一下：

• JWE(规范文件RFC 7516)：JSON Web Encryption，表示基于JSON数据结构的加密内容，加密机制对任意八位字节序列进行加密、提供完整性保护和提高破解难度，JWE中的紧凑序列化布局如下的来说，JWT其实有两种实现，基于JWE实现的依赖于加解密算法、BASE64URL编码和身份认证等手段提高传输的Claims的被破解难度，而基于JWS的实现使用了BASE64URL编码和数字签名的方式对传输的Claims提供了完整性保护，也就是仅仅保证传输的Claims内容不被篡改，但是会暴露明文。「目前主流的JWT框架中大部分都没有实现JWE，所以下文主要通过JWS的实现方式进行深入探讨」。

  JWT中的Claims

  Claim有索赔、声称、要求或者权利要求的含义，但是笔者觉得任一个翻译都不怎么合乎语义，这里保留Claim关键字直接作为命名。JWT的核心作用就是保护Claims的完整性(或者数据加密)，保证JWT传输的过程中Claims不被篡改(或者不被破解)。Claims在JWT原始内容中是一个JSON格式的字符串，其中单个Claim是K-V结构，作为JsonNode中的一个field-value，这里列出常用的规范中预定义好的Claim：
  

（编辑：开发网_开封站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!