JWT怎么用

发布时间：2021-09-18 14:15:03 作者：柒染
来源：亿速云阅读：226

# JWT怎么用

## 目录
1. [JWT基础概念](#1-jwt基础概念)
   - 1.1 [什么是JWT](#11-什么是jwt)
   - 1.2 [JWT的结构](#12-jwt的结构)
2. [JWT工作原理](#2-jwt工作原理)
   - 2.1 [生成与签名](#21-生成与签名)
   - 2.2 [传输与验证](#22-传输与验证)
3. [JWT使用场景](#3-jwt使用场景)
   - 3.1 [身份认证](#31-身份认证)
   - 3.2 [信息交换](#32-信息交换)
4. [JWT实战指南](#4-jwt实战指南)
   - 4.1 [生成JWT（代码示例）](#41-生成jwt代码示例)
   - 4.2 [验证JWT（代码示例）](#42-验证jwt代码示例)
5. [安全最佳实践](#5-安全最佳实践)
   - 5.1 [密钥管理](#51-密钥管理)
   - 5.2 [令牌过期](#52-令牌过期)
6. [常见问题解答](#6-常见问题解答)
7. [总结](#7-总结)

---

## 1. JWT基础概念

### 1.1 什么是JWT
JSON Web Token（JWT）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为JSON对象。这种信息可以被验证和信任，因为它是数字签名的。

**核心特点：**
- 紧凑：可通过URL、POST参数或HTTP头部发送
- 自包含：包含所有必要信息，减少数据库查询
- 可验证：基于数字签名（HMAC或RSA）

### 1.2 JWT的结构
JWT由三部分组成，用点（.）分隔：

Header.Payload.Signature


**1. Header（头部）**
```json
{
  "alg": "HS256",
  "typ": "JWT"
}

alg：签名算法（如HS256、RS256）
typ：令牌类型（固定为JWT）

2. Payload（负载） 包含声明（claims），分为三类： - 注册声明（预定义）：iss（签发者）、exp（过期时间）、sub（主题）等 - 公共声明：可自定义但建议遵循IANA规范 - 私有声明：各方共享的自定义数据

示例：

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

3. Signature（签名） 通过以下方式创建：

HMACSHA256(
  base64UrlEncode(header) + "." + 
  base64UrlEncode(payload),
  secret)

2. JWT工作原理

2.1 生成与签名流程

graph TD
    A[用户登录] --> B[服务器验证凭证]
    B --> C[生成Header+Payload]
    C --> D[签名处理]
    D --> E[返回JWT给客户端]

2.2 传输与验证流程

graph TD
    A[客户端携带JWT请求] --> B[服务器验证签名]
    B --> C{验证结果}
    C -->|成功| D[返回请求数据]
    C -->|失败| E[返回401错误]

3. JWT使用场景

3.1 身份认证（最常用场景）

典型流程： 1. 用户输入凭据登录 2. 服务器生成JWT并返回 3. 客户端存储JWT（通常localStorage或cookie） 4. 后续请求携带JWT（Authorization头） 5. 服务器验证后响应数据

3.2 信息交换

安全地在不同系统间传递信息： - 服务间API通信 - 单点登录（SSO） - 无状态身份验证

4. JWT实战指南

4.1 生成JWT（Node.js示例）

const jwt = require('jsonwebtoken');
const secret = 'your-256-bit-secret';

const token = jwt.sign(
  {
    userId: 123,
    role: 'admin'
  }, 
  secret,
  { expiresIn: '1h' }
);

console.log(token);

4.2 验证JWT（Node.js示例）

jwt.verify(token, secret, (err, decoded) => {
  if (err) {
    console.error('验证失败:', err);
    return;
  }
  console.log('解码内容:', decoded);
});

5. 安全最佳实践

5.1 密钥管理

使用足够长的密钥（HS256至少32字节）
定期轮换密钥
不要硬编码密钥

5.2 令牌过期

建议设置： - 访问令牌：15分钟-1小时 - 刷新令牌：7-30天

// 设置过期时间
jwt.sign(payload, secret, { expiresIn: '15m' });

6. 常见问题解答

Q：JWT比Session好在哪？ A：无需服务器存储状态，更适合分布式系统

Q：如何使JWT失效？ A：JWT本身无法失效，可通过短有效期+黑名单机制实现

7. 总结

JWT作为现代Web开发的重要技术，提供了简洁安全的身份验证方案。正确使用时需注意： - 敏感数据不要放在Payload - 必须使用HTTPS传输 - 合理设置有效期 - 选择适当的签名算法

”`

（注：此为精简框架，实际1万字内容需扩展每个章节的详细说明、更多代码示例、性能分析、不同语言实现对比、历史演进等内容。）