轉載自：http://www.tuicool.com/articles/R7Rj6r3

JWT(JSON Web Tokens )

———— 一種無狀態的認證機制

一、什麼是JWT？

JWT是一種用於雙方之間傳遞安全資訊的簡潔的、URL安全的表述性宣告規範。JWT作為一個開放的標準（RFC 7519），定義了一種簡潔的，自包含的方法用於通訊雙方之間以Json物件的形式安全的傳遞資訊。因為數字簽名的存在，這些資訊是可信的，JWT可以使用HMAC演算法或者是RSA的公私祕鑰對進行簽名。

Ø 簡潔(Compact): 可以通過URL，POST引數或者在HTTP header傳送，因為資料量小，傳輸速度也很快

Ø 自包含(Self-contained): 負載中包含了所有使用者所需要的資訊，避免了多次查詢資料庫;

二、JWT的使用場景？

Ø 身份認證:

在這種場景下，一旦使用者完成了登陸，在接下來的每個請求中包含JWT，可以用來驗證使用者身份以及對路由，服務和資源的訪問許可權進行驗證。由於它的開銷非常小，可以輕鬆的在不同域名的系統中傳遞，所有目前在單點登入（SSO）中比較廣泛的使用了該技術。

Ø 資訊交換:

在通訊的雙方之間使用JWT對資料進行編碼是一種非常安全的方式，由於它的資訊是經過簽名的，可以確保傳送者傳送的資訊是沒有經過偽造的。

三、JWT的結構

 JWT包含了使用 . 分隔的三部分：

²     Header 頭部

²     Payload 負載

²     Signature 簽名

1.Header

在header中通常包含了兩部分：token型別和採用的加密演算法。

{  "alg": "HS256",  "typ": "JWT"}  

接下來對這部分內容使用 Base64Url 編碼組成了JWT結構的第一部分。

2.Payload

Token的第二部分是負載，它包含了claim， Claim是一些實體（通常指的使用者）的狀態和額外的元資料，有三種類型的claim： reserved , public 和 private . 

Ø Reserved claims: 這些claim是JWT預先定義的，在

Ø Public claims：根據需要定義自己的欄位，注意應該避免衝突 

Ø Private claims：這些是自定義的欄位，可以用來在雙方之間交換資訊 

負載使用的例子：

{  "sub": "1234567890",  "name": "John Doe",  "admin": true}

上述的負載需要經過 Base64Url 編碼後作為JWT結構的第二部分。

3.Signature

建立簽名需要使用編碼後的header和payload以及一個祕鑰，使用header中指定簽名演算法進行簽名。例如如果希望使用HMAC SHA256演算法，那麼簽名應該使用下列方式建立：

HMACSHA256(  base64UrlEncode(header) + "." +  base64UrlEncode(payload),  secret)  

簽名用於驗證訊息的傳送者以及訊息是沒有經過篡改的。

4.完整的JWT

JWT格式的輸出是以 . 分隔的三段Base64編碼，與SAML等基於XML的標準相比，JWT在HTTP和HTML環境中更容易傳遞。 

下列的JWT展示了一個完整的JWT格式，它拼接了之前的Header， Payload以及祕鑰簽名：