JWT--json web token

JWT是Json web token的缩写，用做webapi的请求校验

基本组成部分：Header.Payload.Signature

Header的组成例如：

{

"alg":"HS256",

"typ":"JWT"

}

加密方式有：HMAC SHA256 or RSA（algorithm）

上面的Json通过Base64Url加密后生成JWT的第一部分

Payload:包含认证信息，如用户，其它额外信息

有三种分别是：Reserved claims,public claims.private claims

例子

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

iss: jwt签发者

sub: jwt所面向的用户

aud:接收jwt的一方

exp: jwt的过期时间，这个过期时间必须要大于签发时间

nbf:定义在什么时间之前，该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

Base64Url加密后生成第二部分

Signature:加密方式采用Header里配置的加密方式，加密部分由前两部分集合起来，以点号隔开再加上secret.

HMACSHA256(

base64UrlEncode(header) + "." +

base64UrlEncode(payload),

secret)

基本流程