JWT(JSON Web Token)是一种基于开放标准的令牌(Token),用于在不同实体之间传递和验证信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
-
头部(Header)包含了关于令牌类型和加密算法的信息。它使用Base64编码,并以JSON格式表示。header通常包含两个字段:
- "alg":指定签名算法,例如"HMAC SHA256"或"RSA"等。
- "typ":指定令牌类型,通常为"JWT"。
示例:
{ "alg": "HS256", "typ": "JWT" }
-
载荷(Payload)是JWT的主要内容,也是存储实际信息的部分。它也使用Base64编码,并以JSON格式表示。payload包含一组称为"声明"(Claims)的键值对,用于在令牌中传递有关用户、角色、权限和其他相关信息。
- 标准声明:标准化的声明,如"iss"(发布者)、"sub"(主题)、"aud"(观众)和"exp"(过期时间)等。
- 私有声明:自定义的声明,可以根据需求自定义添加其他信息。
示例:
{ "sub": "1234567890", "name": "John Doe", "iat": 1516239022 }
-
签名(Signature)用于验证JWT的真实性和完整性。签名是通过将编码后的头部和载荷与秘密密钥进行加密生成的,以确保令牌在传输过程中未被篡改。签名的生成算法取决于头部中指定的"alg"字段。
示例:
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret )
JWT的设计目标是实现无状态身份验证和授权机制,使得应用程序在服务端无需存储会话信息,可以根据JWT的内容对用户进行认证和授权。JWT通过简洁、自包含和数字签名等特性,提供了一种安全可靠的身份验证解决方案,广泛应用于现代的分布式系统和身份验证机制中。
注意:过期时间的设置
要在JWT中设置过期时间,可以在Payload(载荷)中添加一个名为"exp"的标准声明(Claim),表示JWT的过期时间。"exp"声明的值是一个数值类型,表示某个时间点的UNIX时间戳,单位为秒或毫秒。
以下是一个示例Payload,包括了设置过期时间的"exp"声明:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022,
"exp": 1516239122 // 设置JWT的过期时间为 1516239122 秒
}
在生成JWT时,需要计算当前时间和过期时间,确保生成的JWT在当前时间之后,且在过期时间之前使用。在验证JWT时,需要检查"exp"声明,确保当前时间未超过JWT的过期时间,以确保JWT未失效。
设置过期时间可以增强JWT的安全性,避免长时间使用老旧的令牌造成潜在的安全风险,例如未经授权的访问。因此,建议在生成JWT时始终包含过期时间,以提高系统的安全性。