什麼是JWT？

JWT（on web token），它並不是一個具體的技術實現，而更像是一種標準。

JWT規定了資料傳輸的結構，一串完整的JWT由三段落組成，每個段落用英文句號連線（.）連線，他們分別是：Header、Payload、Signature，所以，常規的JWT內容格式是這樣的：AAA.BBB.CCC

並且，這一串內容會base64加密；也就是說base64解碼就可以看到實際傳輸的內容。接下來解釋一下這些內容都有什麼作用。

Header

Header包含加密的方式、type，比如：

Payload

然後我們來看BBB代表的Payload：

顧名思義，這裡就會包含實際傳遞的引數內容，比http://www.cppcns.com

記住，在這裡不要傳遞那些很敏感的資料，因為只要base64解碼就可以看到，除非你還額外加密一層。

Signature

最後一部分是CCC代表的Signature，當然也是字面意思&mdaRrgOHjNtsh;—簽名，base64解碼後，是這個樣子：

它主要決定了Header、Payload有沒有被人篡改；如果內容被篡改，那麼這條JWT將會被視為無效。

如何工作

那麼，一串JWT如何發揮它的作用呢？正常來說，每一次請求都像圖裡這樣就傳入就可以了。

記住內容前面的“Bearer”是固定的，並且還得多加一個空格做分割。

應用場景

基本上絕大部分的人都用JWT做登入授權，它相比原先的session、cookie來說，更快更安全，跨域也不再是問題，更關鍵的是更加優雅~

當然它也可以用來傳遞資料，只不過我個人覺得做傳輸不太好用（實際上我想市場也這麼覺得），原因幾點：

1、如果是公開展示資料的話，我何必先加簽才返回呢？

2、如果是私密資料的話，人家base64解碼就能看到，不合適吧？即便我把payload內容加密，可這樣一來就加密好幾次了，我直接用別的加密手段它不香麼？

或許是目前的業務需求並沒有很契合，童鞋們遇到了可以一起討論下。

最後

JWT大概是和 .Net Core 一起進入我視野的，它相對輕便、優雅，對伺服器基本沒依賴，所以我基本所有專案的登入授權都在用它。用它這麼久了還沒仔細梳理下，所以今天抽時間寫一篇。沒有翻查什麼文獻，也沒有很高大上的詞綴，就是單純以我的角度闡述我對它的認識。回頭

到此這篇關客棧於JWT構成及工作原理的文章就介紹到這了。希望對大家的學習有所幫助，也希望大家多多支援我們。