一个 JWT 实际上就是一个字符串,它由三部分组成,头部、载荷与签名。
头部( Header )
头部用于描述关于该 JWT 的最基本的信息,例如其类型以及签名所用的算法等。这也可以
被表示成一个 JSON 对象。
载荷( playload )
载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品,这些有效信息包
含三个部分
( 1 )标准中注册的声明(建议但不强制使用)
( 2 )公共的声明
( 3 )私有的声明
私有声明是提供者和消费者所共同定义的声明,一般不建议存放敏感信息,因为 base64
是对称解密的,意味着该部分信息可以归类为明文信息。
这个指的就是自定义的 claim 。比如前面那个结构举例中的 admin 和 name 都属于自定的
claim 。这些 claim 跟 JWT 标准规定的 claim 区别在于: JWT 规定的 claim , JWT 的接收方在
拿到 JWT 之后,都知道怎么对这些标准的 claim 进行验证 ( 还不知道是否能够验证 ) ;而
private claims 不会验证,除非明确告诉接收方要对这些 claim 进行验证以及规则才行。
定义一个 payload:
jwt 的第三部分是一个签证信息,这个签证信息由三部分组成:
这个部分需要 base64 加密后的 header 和 base64 加密后的 payload 使用 . 连接组成的字符
串,然后通过 header 中声明的加密方式进行加盐 secret 组合加密,然后就构成了 jwt 的第
三部分。
将这三部分用 . 连接成一个完整的字符串 , 构成了最终的 jwt:
注意: secret是保存在服务器端的,jwt的签发生成也是在服务器端的,secret就是用
来进行jwt的签发和jwt的验证,所以,它就是你服务端的私钥,在任何场景都不应该流
露出去。一旦客户端得知这个secret, 那就意味着客户端是可以自我签发jwt了。
