什么是JWT？

JWT（json web token），它并不是一個具體的技術實現，而更像是一種標準。

Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放標準.該token被設計為緊湊且安全的，特別適用于分布式站點的單點登錄（SSO）場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息，以便于從資源服務器獲取資源，也可以增加一些額外的其它業務邏輯所必須的聲明信息，該token也可直接被用于認證，也可被加密。

JWT規定了數據傳輸的結構，一串完整的JWT由三段落組成，每個段落用英文句號連接（.）連接，他們分別是：Header、Payload、Signature，所以，常規的JWT內容格式是這樣的：AAA.BBB.CCC

并且，這一串內容會base64加密；也就是說base64解碼就可以看到實際傳輸的內容。接下來解釋一下這些內容都有什么作用。

Header

Header包含加密的方式、type，比如：

Payload

然后我們來看BBB代表的Payload：

顧名思義，這里就會包含實際傳遞的參數內容，比如：

記住，在這里不要傳遞那些很敏感的數據，因為只要base64解碼就可以看到，除非你還額外加密一層。

Signature

最后一部分是CCC代表的Signature，當然也是字面意思——簽名，base64解碼后，是這個樣子：

它主要決定了Header、Payload有沒有被人篡改；如果內容被篡改，那么這條JWT將會被視為無效。

如何工作

那么，一串JWT如何發揮它的作用呢？正常來說，每一次請求都像圖里這樣就傳入就可以了。

記住內容前面的“Bearer”是固定的，并且還得多加一個空格做分割。

應用場景

基本上絕大部分的人都用JWT做登錄授權，它相比原先的session、cookie來說，更快更安全，跨域也不再是問題，更關鍵的是更加優雅~

當然它也可以用來傳遞數據，只不過我個人覺得做傳輸不太好用（實際上我想市場也這么覺得），原因幾點：

1、如果是公開展示數據的話，我何必先加簽才返回呢？

2、如果是私密數據的話，人家base64解碼就能看到，不合適吧？即便我把payload內容加密，可這樣一來就加密好幾次了，我直接用別的加密手段它不香么？

或許是目前的業務需求并沒有很契合，童鞋們遇到了可以一起討論下。

最后

JWT大概是和 .Net Core 一起進入我視野的，它相對輕便、優雅，對服務器基本沒依賴，所以我基本所有項目的登錄授權都在用它。用它這么久了還沒仔細梳理下，所以今天抽時間寫一篇。沒有翻查什么文獻，也沒有很高大上的詞綴，就是單純以我的角度闡述我對它的認識。回頭再補一篇JWT在.Net Core的實現。

到此這篇關于什么是JWT超詳細講解的文章就介紹到這了,更多相關JWT是什么內容請搜索以前的文章或繼續瀏覽下面的相關文章希望大家以后多多支持！