JWT从入门到上天系列第二章：JWT的结构

本文主要是介绍JWT从入门到上天系列第二章：JWT的结构，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

😉😉 欢迎加入我们的学习交流群呀！

✅✅1：这是孙哥suns给大家的福利！

✨✨2：我们免费分享Netty、Dubbo、k8s、Mybatis、Spring、Security、Docker、Grpc、消息中间件、Rpc、SpringCloud等等很多应用和源码级别高质量视频和笔记资料，你想学的我们这里都有！

🥭🥭3：QQ群：583783824 📚📚 工作VX：BigTreeJava 拉你进VX群，免费领取！

💞💞4：以上内容，进群免费领取呦~ 💞💞💞💞

上篇，我们介绍了什么是JWT，他就是基于客户端保存，客户端请求的时候携带这个令牌，我们后端记性验证即可。这个避免了我们的Session占用、他还是间接的因为数据量很小，他还是自包含的，因为用查询数据库。

一：JWT结构

1：令牌组成

tocken他本质上就是一个字符串，他的本质上就是由x.y.z组成的token。

标头.有效荷载.签名 xxxxx.yyyyy.zzzzz 中间使用点去分隔。

分割的三块是{}.{}.{}这三个JSON对象基于Base加密之后的字符拼接内容

也就是{}.{}.{}---经过Base64编码---xxxxx.yyyyy.zzzzz

2：标头信息

typ：表示令牌使用JWT这种形式

alg：表示的加密算法，常用加密算法：SHA256、RSA

{}：这个JSON会给予Base64编码成为上边的xxxx

{"typ":"JWT","alg":"HS256"
}

3：有效荷载

令牌的第二部分是有效负载，其中包含声明。声明是有关实体(通常是用户)和其他数据的声明。

同样的，它会使用 Base64 编码组成，服务端可以给予Base64解码，所以不是Base64不算是加密。

有效荷载里边建议不要放特别敏感的信息，例如仅仅放一个用户名就行了，千万不要放密码。

{"sub":"1111111","name":"123456"
}

4：签名

前面两部分都是使用 Base64 进行编码的，即前端可以通过Base64解码解开知道里面的信息。

Signature 需要使用编码后的 header 和 payload以及我们提供的一个密钥（盐值，这个月也叫签名），然后使用 header 中指定的签名算法(HS256)进行签名。

签名的作用是保证 JWT 没有被篡改过

这个Tocken传到后台的时候，会先有一个验签的过程，也就是上边内容再算一遍（签名从服务器中去取）。看最终的结果是不是和第三区域的内容一致，一致则是正确的签名。如果Token改了，验签一定过不了。

二：签名目的

1：签名目的

最后一步签名的过程，实际上是对头部以及负载内容进行签名，防止内容被窜改。如果有人对头部以及负载的内容解码之后进行修改，再进行编码，最后加上之前的签名组合形成新的JWT的话，那么服务器端会判断出新的头部和负载形成的签名和JWT附带上的签名是不一样的。如果要对新的头部和负载进行签名，在不知道服务加密时用的密钥的话，得出来的签名也是不一样的。

2：信息安全问题

在这里大家一定会问一个问题:Base64是一种编码，是可逆的，那么我的信息不就被暴露了吗?

是的。所以，在JT中，不应该在负载里面加入任何敏感的数据。

在上面的例子中，我们传输的是用户的UserID。这个值实际上不是什么敏感内容，一般情况下被知道也是安全的。但是像密码这样的内容就不能被放在JWT中了。如果将用户的密码放在了JWT中，那么怀有恶意的第三方通过Base64解码就能很快地知道你的密码了。因此JWT适合用于向Web应用传递一些非敏感信息。JWT还经常用于设计用户认证和授权系统，甚至实现Web应用的单点登录。