117笔记问答JWT(JSON Web Token)验证的原理是使用基于 JSON 对象的令牌来验证用户身份和权限。JWT 由三部分组成:头部(header)、载荷(payload)和签名(signature)。
-
头部(header):包含了令牌的类型和签名算法。通常采用 JSON 表示,例如:{“alg”: “HS256”, “typ”: “JWT”}。
-
载荷(payload):包含了用户的一些信息,例如用户 ID、用户名、角色等。也可以自定义其他信息。通常采用 JSON 表示,例如:{“userId”: 123456, “username”: “john.doe”, “role”: “admin”}。
-
签名(signature):由头部、载荷和密钥进行加密生成的签名。用于验证令牌的完整性和真实性。签名通常使用密钥进行加密,例如使用 HMAC-SHA256 加密算法。
JWT 的验证过程如下:
-
客户端在登录时,使用用户名和密码发送请求到服务器。
-
服务器验证用户名和密码是否正确,如果正确,生成 JWT 令牌,并将其返回给客户端。
-
客户端收到 JWT 令牌后,将其保存在本地,例如在 localStorage 或者 cookie 中。
-
客户端在后续的请求中,将 JWT 令牌放在请求的头部(通常是 Authorization 头部)中发送给服务器。
-
服务器在接收到请求后,从请求头部中获取 JWT 令牌,并根据密钥解析和验证 JWT 令牌的完整性和真实性。
-
服务器验证通过后,根据 JWT 令牌中的信息,进行用户身份和权限的验证,然后返回请求的数据或执行相应的操作。
JWT 的验证原理是通过在客户端和服务器之间传递令牌来验证用户身份和权限,避免了服务器存储用户状态的开销,同时也保证了数据的安全性。但需要注意的是,JWT 令牌被截获后,任何人都可以使用该令牌来冒充用户身份,因此需要采取一些措施来保护 JWT 的安全性,例如使用 HTTPS 来加密通信,设置令牌的过期时间,并在令牌中携带一些额外的信息来增加验证的复杂性。