JWT(Json Web Token)是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作為一個開放的標準（ RFC 7519），定義了一種簡潔的，自包含的方法用於通訊雙方之間以Json物件的形式安全的傳遞資訊。因為數字簽名的存在，這些資訊是可信的， JWT可以使用HMAC演算法或者是RSA的公私祕鑰對進行加密簽名。
簡潔(Compact): 可以通過URL，POST引數或者在HTTP header傳送，因為資料量小，傳輸速度也很快
自包含(Self-contained)：負載中包含了所有使用者所需要的資訊，避免了多次查詢資料庫

JWT的主要應用場景

身份認證在這種場景下，一旦使用者完成了登陸，在接下來的每個請求中包含JWT，可以用來驗證使用者身份以及對路由，服務和資源的訪問許可權進行驗證。由於它的開銷非常小，可以輕鬆的在不同域名的系統中傳遞，所有目前在單點登入（SSO）中比較廣泛的使用了該技術。
資訊交換在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式，由於它的資訊是經過簽名的，可以確保傳送者傳送的資訊是沒有經過偽造的。

JWT的結構

JWT包含了使用.分隔的三部分：
Header 頭部
Payload 負載
Signature 簽名

其結構看起來是這樣的Header.Payload.Signature

Header

在header中通常包含了兩部分：token型別和採用的加密演算法。{ "alg": "HS256", "typ": "JWT"}
接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。

Payload

Token的第二部分是負載，它包含了claim， Claim是一些實體（通常指的使用者）的狀態和額外的元資料，有三種類型的claim：reserved, public 和 private.Reserved claims: 這些claim是JWT預先定義的，在JWT中並不會強制使用它們，而是推薦使用，常用的有 iss（簽發者）,exp（過期時間戳）, sub（面向的使用者）, aud（接收方）, iat（簽發時間）。
Public claims

：根據需要定義自己的欄位，注意應該避免衝突
Private claims：這些是自定義的欄位，可以用來在雙方之間交換資訊
負載使用的例子：{ "sub": "1234567890", "name": "John Doe", "admin": true}
上述的負載需要經過Base64Url編碼後作為JWT結構的第二部分。

Signature

建立簽名需要使用編碼後的header和payload以及一個祕鑰，使用header中指定簽名演算法進行簽名。例如如果希望使用HMAC SHA256演算法，那麼簽名應該使用下列方式建立：
HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)
簽名用於驗證訊息的傳送者以及訊息是沒有經過篡改的。
完整的JWT
完整的JWT格式的輸出是以.
分隔的三段Base64編碼，與SAML等基於XML的標準相比，JWT在HTTP和HTML環境中更容易傳遞。
下列的JWT展示了一個完整的JWT格式，它拼接了之前的Header， Payload以及祕鑰簽名：

如何使用JWT？
在身份鑑定的實現中，傳統方法是在服務端儲存一個session，給客戶端返回一個cookie，而使用JWT之後，當用戶使用它的認證資訊登陸系統之後，會返回給使用者一個JWT，使用者只需要本地儲存該token（通常使用local storage，也可以使用cookie）即可。
當用戶希望訪問一個受保護的路由或者資源的時候，通常應該在Authorization頭部使用Bearer模式新增JWT，其內容看起來是下面這樣：Authorization: Bearer <token>

因為使用者的狀態在服務端的記憶體中是不儲存的，所以這是一種無狀態的認證機制。服務端的保護路由將會檢查請求頭Authorization中的JWT資訊，如果合法，則允許使用者的行為。由於JWT是自包含的，因此減少了需要查詢資料庫的需要。
JWT的這些特性使得我們可以完全依賴其無狀態的特性提供資料API服務，甚至是建立一個下載流服務。因為JWT並不使用Cookie的，所以你可以使用任何域名提供你的API服務而不需要擔心跨域資源共享問題（CORS）。
下面的序列圖展示了該過程：

為什麼要使用JWT？
相比XML格式，JSON更加簡潔，編碼之後更小，這使得JWT比SAML更加簡潔，更加適合在HTML和HTTP環境中傳遞。
在安全性方面，SWT只能夠使用HMAC演算法和共享的對稱祕鑰進行簽名，而JWT和SAML token則可以使用X.509認證的公私祕鑰對進行簽名。與簡單的JSON相比，XML和XML數字簽名會引入複雜的安全漏洞。
因為JSON可以直接對映為物件，在大多數程式語言中都提供了JSON解析器，而XML則沒有這麼自然的文件-物件對映關係，這就使得使用JWT比SAML更方便
java json web token工具類

public class JwtHelper {

    private final static String base64Secret = "MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0ZjY=";
    private final static int expiresSecond = 172800000;

    public static Claims parseJWT(String jsonWebToken) {
        try {
            Claims claims = Jwts.parser()
                    .setSigningKey(DatatypeConverter.parseBase64Binary(base64Secret))
                    .parseClaimsJws(jsonWebToken).getBody();
            return claims;
        } catch (Exception ex) {
            return null;
        }
    }

    public static String createJWT(String username, String roles, String privileges) {
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;

        long nowMillis = System.currentTimeMillis();
        Date now = new Date(nowMillis);

        //生成簽名金鑰
        byte[] apiKeySecretBytes = DatatypeConverter.parseBase64Binary(base64Secret);
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());

        //新增構成JWT的引數
        JwtBuilder builder = Jwts.builder().setHeaderParam("typ", "JWT")
                .claim("user_name", username)
                .claim("user_role", roles)
                .claim("user_privilege", privileges)
                .signWith(signatureAlgorithm, signingKey);
        //新增Token過期時間
        if (expiresSecond >= 0) {
            long expMillis = nowMillis + expiresSecond;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp).setNotBefore(now);
        }

        //生成JWT
        return builder.compact();
    }
}

小禮物走一走，來簡書關注我

作者：Renky
連結：https://www.jianshu.com/p/2fdc20a42c41
來源：簡書
簡書著作權歸作者所有，任何形式的轉載都請聯絡作者獲得授權並註明出處。