JWT是由什么构成的

# JWT是由什么构成的

## 引言

JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在网络应用环境间安全地传递声明（claims）。它已成为现代Web开发和API身份验证的重要工具。本文将深入探讨JWT的构成，包括其三个核心部分：头部（Header）、载荷（Payload）和签名（Signature）。通过了解这些组成部分，开发者可以更好地理解JWT的工作原理，并在实际应用中更安全地使用它。

## 1. JWT概述

### 1.1 什么是JWT

JWT是一种紧凑的、URL安全的表示方式，用于在两方之间传输信息。这些信息可以被验证和信任，因为它们是经过数字签名的。JWT可以使用密钥（HMAC算法）或使用RSA或ECDSA的公钥/私钥对进行签名。

### 1.2 JWT的主要用途

- **身份验证**：用户登录后，服务器生成JWT并返回给客户端，客户端在后续请求中携带该JWT以证明身份。
- **信息交换**：JWT可以在各方之间安全地传输信息，因为签名可以验证发送方的身份并确保信息未被篡改。

### 1.3 JWT的优势

- **无状态**：服务器不需要存储会话信息，因为JWT本身包含了所有必要的信息。
- **跨域支持**：JWT可以轻松地在不同域之间传递，适用于分布式系统和微服务架构。
- **安全性**：通过签名或加密，JWT可以防止数据被篡改。

## 2. JWT的结构

JWT由三部分组成，用点（`.`）分隔：

Header.Payload.Signature

### 2.1 头部（Header）

头部是JWT的第一部分，通常由两部分组成：
- **令牌类型（typ）**：通常是"JWT"。
- **签名算法（alg）**：如HMAC SHA256（HS256）或RSA（RS256）。

#### 示例
```json
{
  "alg": "HS256",
  "typ": "JWT"
}

Base64Url编码

头部经过Base64Url编码后形成JWT的第一部分。

2.2 载荷（Payload）

载荷是JWT的第二部分，包含声明（claims）。声明是关于实体（通常是用户）和其他数据的语句。声明分为三类： 1. 注册声明（Registered Claims）：预定义的声明，如iss（签发者）、exp（过期时间）、sub（主题）等。 2. 公共声明（Public Claims）：可以自定义，但应避免与已注册声明冲突。 3. 私有声明（Private Claims）：用于在同意使用它们的各方之间共享信息。

示例

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true,
  "iat": 1516239022
}

Base64Url编码

载荷经过Base64Url编码后形成JWT的第二部分。

2.3 签名（Signature）

签名是JWT的第三部分，用于验证消息在传输过程中未被篡改。签名是通过将编码后的头部、编码后的载荷、一个密钥以及头部中指定的算法生成的。

生成方式

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

作用

• 验证发送方的身份。
• 确保消息未被篡改。

3. JWT的编码与解码

3.1 Base64Url编码

JWT使用Base64Url编码，与标准Base64编码的区别： - 省略末尾的填充字符（=）。 - 替换+为-，/为_。

3.2 完整的JWT示例

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

3.3 解码JWT

可以通过在线工具或编程语言库解码JWT： 1. 分割JWT为三部分。 2. 分别解码头部和载荷。 3. 验证签名。

4. JWT的安全性

4.1 签名算法

• HS256：对称加密，使用同一个密钥进行签名和验证。
• RS256：非对称加密，使用私钥签名，公钥验证。

4.2 常见攻击与防范

• 令牌泄露：使用HTTPS传输JWT，避免令牌泄露。
• 算法切换攻击：强制指定算法，避免攻击者修改头部中的算法。
• 令牌过期：设置较短的过期时间（exp声明）。

4.3 最佳实践

• 不要在载荷中存储敏感信息。
• 使用强密钥并定期更换。
• 验证签名和过期时间。

5. JWT的实际应用

5.1 身份验证流程

1. 用户登录，服务器验证凭据。
2. 服务器生成JWT并返回给客户端。
3. 客户端在后续请求的Authorization头中携带JWT。
4. 服务器验证JWT并处理请求。

5.2 与其他技术的结合

• OAuth 2.0：JWT常用作OAuth 2.0的访问令牌。
• 单点登录（SSO）：JWT可以在多个系统间传递用户身份信息。

6. JWT的局限性

• 无状态性：无法在服务器端直接撤销令牌。
• 载荷大小：过大的载荷会增加网络开销。
• 安全性依赖实现：错误的实现可能导致安全漏洞。

7. 总结

JWT由头部、载荷和签名三部分组成，是一种高效、安全的身份验证和信息交换机制。通过理解其构成和工作原理，开发者可以更好地利用JWT构建安全的现代Web应用。然而，也需要注意其局限性和安全性问题，遵循最佳实践以确保应用的安全。

附录

常见问题

1. JWT和Session有什么区别？

   • JWT是无状态的，Session是有状态的。
   • JWT适合分布式系统，Session适合单体应用。

2. 如何选择签名算法？

   • 对称加密（HS256）适合单服务器环境。
   • 非对称加密（RS256）适合多服务器或微服务环境。

3. JWT可以加密吗？

   • 可以，使用JWE（JSON Web Encryption）标准对JWT进行加密。

参考资料

• RFC 7519 - JSON Web Token (JWT)
• JWT.io
• OAuth 2.0 and JWT

”`

这篇文章详细介绍了JWT的构成、编码与解码、安全性、实际应用及局限性，总字数约3600字。希望对您有所帮助！