#国庆学习打卡#一文搞明白Cookie、Session与Token（六）

2、JSON Web Token （JWT）

JSON Web Token（JWT），通常可以称为 Json 令牌，是RFC 7519 中定义的用于安全的将信息作为 Json 对象进行传输的一种规范，这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息

JWT格式

一个JWT实际上就是一个字符串，它由三部分组成：头部、载荷与签名

（1）头部（Header）

• 用于描述关于该JWT的最基本的信息：令牌的类型(即 JWT)和使用的签名算法
• 这也可以被表示成一个JSON对象
• 然后将其进行base64编码，得到第一部分
• 
• 2）载荷（Payload）

  
  
  一般添加用户的相关信息或其他业务需要的必要信息
  不建议添加敏感信息，因为该部分在客户端可解密
  进行base64编码，得到第二部分
  
  
  注：针对JWT的攻击，通常是这部分受控导致
  （3）签名（Signature）
  
  
  需要base64加密后的header和base64加密后的payload使用"."连接组成的字符串
  然后通过header中声明的加密方式进行加盐secret组合加密（在加密的时候，我们还需要提供一个密钥（secret），加盐secret组合加密）
  然后就构成了jwt的第三部分。
  
  最后，将这一部分签名也拼接在被签名的字符串后面，我们就得到了完整的JWT
  注意：secret就是你服务端的私钥，在任何场景都不应该流露出去，一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了
  JWT作用
  
  
  认证(Authorization)：这是使用 JWT 最常见的一种情况，一旦用户登录，后面每个请求都会包含 JWT，从而允许用户访问该令牌所允许的路由、服务和资源。单点登录是当今广泛使用 JWT 的一项功能，因为它的开销很小
  信息交换(Information Exchange)：JWT 是能够安全传输信息的一种方式。通过使用公钥/私钥对 JWT 进行签名认证。此外，由于签名是使用 head 和 payload 计算的，因此你还可以验证内容是否遭到篡改
  结语
  对Cookie、Session与Token做了个归纳
  
  

感谢楼主分享。。。。。。。。。。。。。。。。。。