摘要:一什么是為什么使用是機(jī)制的一種替代方案��。這種情況下使用就會(huì)有更加方便��。的數(shù)據(jù)結(jié)構(gòu)一般為三部分組成頭部一般包含簽名的算法和令牌的屬性負(fù)載實(shí)際需要傳遞的數(shù)據(jù)一般不加密,因此不要把重要信息放在里面簽名部分是對(duì)前兩部分的簽名����,防止數(shù)據(jù)篡改。
一�����、什么是JSON Web Token����?
1、為什么使用JSON Web Token
JSON Web Token是cookie session機(jī)制的一種替代方案����。
一般我們用戶認(rèn)證的流程是:
(1)用戶將用戶名和密碼發(fā)送給服務(wù)器
(2)服務(wù)器驗(yàn)證并通過(guò)后,將信息存放在session中
(3)返回給客戶端一個(gè)sessionId
(4)客戶端將sessionId保存在cookie中
(5)客戶端后續(xù)的請(qǐng)求��,都會(huì)將cookie一并發(fā)給服務(wù)器��,里面就包含了sessionId
(6)客戶端通過(guò)sessionId識(shí)別用戶
但是在跨域登陸情況下(跨域即跨域名登陸���,也就是可能會(huì)有好幾個(gè)不同的服務(wù)器)�����,多個(gè)服務(wù)器需要共享session���。這種情況下使用JSON Web Token就會(huì)有更加方便�。
2����、JSON Web Token的原理
JSON Web Token實(shí)際上是一個(gè)JSON對(duì)象��,使用流程為:
‘
(1)用戶將用戶名和密碼發(fā)送給服務(wù)器
(2)服務(wù)器將驗(yàn)證并通過(guò)以后����,生成JSON Web Token,并發(fā)送給客戶端
(3)客戶端將其保存在local storage 或本地?cái)?shù)據(jù)庫(kù)
(4)下次客戶端再次發(fā)起請(qǐng)求�����,將 Token 附加到 header 中
(5)服務(wù)器完全通過(guò)JSON Web Token來(lái)識(shí)別用戶
這里值得注意的是�����,為了保證安全性�,在第(2)步中,服務(wù)器會(huì)通過(guò)加密算法將Token加密����,也就是說(shuō)客戶端保存的是個(gè)加密的Token�,到第(5)步服務(wù)器對(duì)其進(jìn)行解密�����。
3���、JSON Web Token的數(shù)據(jù)結(jié)構(gòu)
Token一般為三部分組成:Header.Payload.Signature
(1)Header(頭部):一般包含簽名的算法和令牌的屬性
(2)Payload(負(fù)載):實(shí)際需要傳遞的數(shù)據(jù)(一般不加密�,因此不要把重要信息放在里面)
(3)Signature(簽名):Signature 部分是對(duì)前兩部分的簽名�,防止數(shù)據(jù)篡改。格式一般如下(secret為密鑰�����,只有服務(wù)器自己知道):
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret)
4����、特點(diǎn)
(1)使用 json 作為數(shù)據(jù)傳輸,有廣泛的通用型�����,并且體積小,便于傳輸
(2)不需要在服務(wù)器端保存相關(guān)信息�����,完全通過(guò)Token來(lái)認(rèn)證
(3)jwt 載荷部分可以存儲(chǔ)業(yè)務(wù)相關(guān)的信息(非敏感的)�,例如用戶信息、角色等���,因此也可以用于交換信息�。
文章版權(quán)歸作者所有��,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為�����,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/75098.html
