JWT从入门到上天系列第二章：JWT的结构

今天药忘吃喽~ 2024-05-24 12:57 78阅读 0赞

> ?? 欢迎加入我们的学习交流群呀！
> 
> ✅✅1：这是**孙哥suns**给大家的福利！
> 
> ✨✨2：我们**免费分享Netty、Dubbo、k8s、Mybatis、Spring、Security、Docker、Grpc、消息中间件、Rpc、SpringCloud等等很多应用和源码级别高质量视频和笔记资料**，你想学的我们这里都有！
> 
> ??3：QQ群：**583783824** ?? 工作VX：**BigTreeJava** 拉你进VX群，免费领取！
> 
> ??4：以上内容，进群免费领取呦~ ????

上篇，我们介绍了什么是JWT，他就是基于客户端保存，客户端请求的时候携带这个令牌，我们后端记性验证即可。这个避免了我们的Session占用、他还是间接的因为数据量很小，他还是自包含的，因为用查询数据库。

## 一：JWT结构 ##

### 1：令牌组成 ###

tocken他本质上就是一个字符串，他的本质上就是由x.y.z组成的token。

标头.有效荷载.签名 xxxxx.yyyyy.zzzzz 中间使用点去分隔。

分割的三块是\{\}.\{\}.\{\}这三个JSON对象基于Base加密之后的字符拼接内容

也就是\{\}.\{\}.\{\}---经过Base64编码---xxxxx.yyyyy.zzzzz

### 2：标头信息 ###

typ：表示令牌使用JWT这种形式

alg：表示的加密算法，常用加密算法：SHA256、RSA

\{\}：这个JSON会给予Base64编码成为上边的xxxx

{
        "typ":"JWT",
        "alg":"HS256"
    }

### 3：有效荷载 ###

令牌的第二部分是有效负载，其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。

同样的，它会使用 Base64 编码组成，服务端可以给予Base64解码，所以不是Base64不算是加密。

有效荷载里边建议不要放特别敏感的信息，例如仅仅放一个用户名就行了，千万不要放密码。

{
        "sub":"1111111",
        "name":"123456"
    }

### 4：签名 ###

前面两部分都是使用 Base64 进行编码的，即前端可以通过Base64解码解开知道里面的信息。

Signature 需要使用编码后的 header 和 payload以及我们提供的一个密钥（盐值，这个月也叫签名），然后使用 header 中指定的签名算法(HS256)进行签名。

签名的作用是保证 JWT 没有被篡改过

![d55373cbad3643ecb471acd51a580364.png][]

这个Tocken传到后台的时候，会先有一个验签的过程，也就是上边内容再算一遍（签名从服务器中去取）。 看最终的结果是不是和第三区域的内容一致，一致则是正确的签名。如果Token改了，验签一定过不了。

## 二：签名目的 ##

### 1：签名目的 ###

最后一步签名的过程，实际上是对头部以及负载内容进行签名，防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务加密时用的密钥的话，得出来的签名也是不一样的。

### 2：信息安全问题 ###

在这里大家一定会问一个问题:Base64是一种编码，是可逆的，那么我的信息不就被暴露了吗?

是的。所以，在JT中，不应该在负载里面加入任何敏感的数据。

在上面的例子中，我们传输的是用户的UserID。这个值实际上不是什么敏感内容，一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中，那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。**JWT还经常用于设计用户认证和授权系统，甚至实现Web应用的单点登录。**

![23fd870bf178482299ddbdd43e63e7e3.png][]

**容易输出：**

是三个由点分隔的Base64-URL字符串，可以在HTML和HTTP环境中轻松传递这些字符串，与基于XML的标准(例如SAML)相比，它更紧凑。

**简洁(Compact)：**

可以通过URL，POST 参数或者在 HTTP header 发送，因为数据量小，传输速度快

**自包含(Self-contained)：**

负载中包含了所有用户所需要的信息，避免了多次查询数据库

[d55373cbad3643ecb471acd51a580364.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/05/24/f0acd5dd93af401382a6984c120a7de3.png
[23fd870bf178482299ddbdd43e63e7e3.png]: https://image.dandelioncloud.cn/pgy_files/images/2024/05/24/606cee82355b42cab12b00e21c6d47b8.png