JWT

什么是JWT?

JSON Web Token（JWT）是一个开放标准（RFC 7519），它定义了一种紧凑的、自包含的方式，用于作为 JSON 对象在各方之间安全地传输信息。

说了一长串，不知道说的啥。。。。其实JWT就是用一种结构化封装的方式来生成token的技术。

JWT 这种结构化体可以分为 HEADER（头部）、PAYLOAD（数据体）和 SIGNATURE（签名）三部分。经过签名之后的 JWT 的整体结构，是被句点符号分割的三段内容，结构为 header.payload.signature 。比如下面这个示例：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

我们拿着这个jwtToken去https://jwt.io/可以看到解密后的结果

HEADER:

{
  "alg": "HS256",
  "typ": "JWT"
}

PAYLOAD:

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}

• HEADER：表示装载令牌类型和算法等信息，是 JWT 的头部。其中，typ 表示第二部分 PAYLOAD 是 JWT 类型，alg 表示使用 HS256 对称签名的算法。
• PAYLOAD：数据体主要是我们的结构化数据，这组数据基本上都是我们自定义的信息。但是有几个关键点大家需要注意一下：exp（令牌的过期时间戳）、iat（令牌颁发的时间戳）
• SIGNATURE：表示对 JWT 信息的签名。其实就是对HEADER与PAYLOAD进行一次加密处理，主要是验证整个JWT内容有没有被篡改。

JWT的优点

其实JWT最大的优点就是为了设计无状态的服务。

我们经常可以听到Http协议是无状态的，而session是有状态的，但是到底什么是有状态，什么是无状态呢？这里我给大家简单的科普一下：

所谓“状态”，就是为了保留程序的一些数据或是上下文。

所以，大家可以知道，我们的软件本身，肯定是有状态的！（感觉是废话，如果软件不保留程序的数据，或者没有上下文，那这个软件有个毛用！）

但是我们各种架构设计，程序设计，都在强调设计无状态的服务，这怎么做呢？其实说白了，就是让我们写的程序，尽可能的“无状态”，而把“有状态”放到Redis，MySQL或者其他的分布式文件系统中。那么我们的服务就能可以随意地增加和减少节点，同样可以随意地搬迁。而且，无状态的服务可以大幅度降低代码的复杂度以及 Bug 数，因为没有状态，所以也没有明显的“副作用”。对开发和运维来说，无状态服务比有状态的服务方便的多。

所以，我们用JWT作为Token，主要是通过“自编码”的方式包含了身份验证需要的信息，不再需要服务端进行额外的存储，所以每次的请求都是无状态会话。这就符合了我们尽可能遵循无状态架构设计的原则，也就是增强了系统的可用性和伸缩性。

JWT的缺点

其实JWT的缺点，就是它的优点。

因为Token如果用“自编码”的方式，不去存储，那么就有一个很大的问题：覆水难收。

• 用户登出后，JWTToken依然有效
• 用户改密码后，旧的JWTToken依然有效
• 用户被管理员踢出后，旧的JWTToken依然有效
• JWTToken没办法“续约”，只能用申请新的Token

如何解决JWT的缺点

想要解决JWT的缺点，只能把部分信息存储在客户端，这是个无解的问题，想要彻底的做成“自编码”而且又解决缺点，这是不可能的。

• 以JWTToken为key，过期时间为value，在Redis等缓存中维护JWTToken的有效性

  其实这个方法也是可以的，但是不太友好。因为JWT的意义就是是把全部的信息放到JWT的PAYLOAD里面，如果用JWTToken为key，部分信息为value放到Redis中，其实是违背了JWT的设计初衷。而且JWTToken非常长，也不适合做缓存的key。

• 以用户ID为key，用户密码为value，或者为每个用户生成一个秘钥为value，放到Redis等缓存中

  JWT的SIGNATURE部分，我们可以设置一个“秘钥”，哪怕HEADER与PAYLOAD相同，而秘钥不同，最终生成的SIGNATURE也是不同的。所以，我们可以为每个用户生成一个专属的秘钥，放在Redis等缓存中，当用户改了密码，或者被管理员踢出后，我们可以换掉用户的秘钥。那么下次用户请求服务器时，我们对JWTToken进行校验的时候，秘钥改了，生成的SIGNATURE肯定不同，这样就可以“收回”已经无效的JWTToken了。

使用JWT需要注意的点

使用JWT作为Token，一定要注意里面的信息是否能给到第三方。如果不得不包含一些不能给到第三方的信息，那么JWTToken必须要加密。

因为JWT本身是包含了结构化信息的，这里面有用户的信息。如果不加密的话，不管是第三方、或者是用户通过浏览器，都能够知道JWT里面隐藏的信息。特别是用于OAuth2协议时，如果直接把JWT作为访问令牌，那么第三方就能知道JWT里面的信息，而且这里面的信息可能第三方根本就没有获取到权限。