一、前言

這篇文章中我們來了解一下JWT是何方神圣？以及JWT來實現分布式Session。

二、JWT是什么

JWT一看就是簡稱，它的全稱JSON Web Token，從字面上我們看出

1、數據是JSON格式

2、用于Web應用

3、是一個Token，也就是一個令牌方式

看看官方的說明，它定義了一種緊湊且自包含的方式，用于在各方之間以JSON對象進行安全傳輸信息。這些信息可以通過對稱/非對稱方式進行簽名，防止信息被串改。

緊湊的含義：就是JWT比較小，數據量不大，可以通過URL、POST參數或Header請求頭方式進行傳輸。

自包含的含義：jwt可以讓用戶自定義JWT里面包含的用戶信息，如：姓名、昵稱等（不要放隱密的信息）。從而避免了多次查詢數據庫。

三、JWT數據結構

• JWT由三個部分組成

1、Header

2、Payload

3、Signature

• 三者組合在一起

Header.Payload.Signature

• 案例

看上去是不是滿亂，我們來依次看下里面的結構。

四、Header

這個是JWT第一段數據，表示頭部信息，主要的作用是描述JWT的元數據，上面的案例就是：

{ alg: "HS256", typ: "JWT"}

1、alg屬性表示簽名的算法，默認算法為HS256，可以自行別的算法。

2、typ屬性表示這個令牌的類型，JWT令牌就為JWT。

上面的JSON數據會通過Base64算法進行編碼而成，看工具圖

五、Payload

此為JWT第二段數據，用來存放實際需要傳遞的數據。JWT官方也規定了7個字段供選用

當然除了官方字段，我們可以自定義字段，以上面的案例，我們看下實際的數據

注意：這段也是用Base64算法，JWT默認是不加密的，任何人都可以獲取，只要進行Base64解碼就行了，所以不要把隱密的信息放到JWT中

六、Signature

此為JWT第三段數據，主要作用是對前面兩段的數據進行簽名，防止數據篡改。一般我們進行簽名的時候會有個密鑰（secret），只有服務器知道，然后利用Header中的簽名算法進行簽名，公式如下：

HmacSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

算出簽名后，把Header、Payload、Signature三個部分拼成一個字符串，之間用（.）分隔，這樣就可以把組合而成的字符串返回給用戶了。

七、JWT的工作方式

在用戶進行認證登錄時，登錄成功后服務器會返回一個JWT給客戶端；那這個JWT就是用戶的憑證，以后到哪里去都要帶上這個憑證token。尤其訪問受保護的資源的時候，通常把JWT放在Authorization header中。要用 Bearer schema，如header請求頭中：

Authorization: Bearer <token>

八、基于JWT的身份認證

上面的JWT的工作方式，其實就是一個完整的身份認證流程，我們這里把這個講的在通俗一點。

1、用戶提供用戶名和密碼登錄

2、服務器校驗用戶是否正確，如正確，就返回token給客戶端，此token可以包含用戶信息

3、客戶端存儲token，可以保存在cookie或者local storage

4、客戶端以后請求時，都要帶上這個token，一般放在請求頭中

5、服務器判斷是否存在token，并且解碼后就可以知道是哪個用戶

6、服務器這樣就可以返回該用戶的相關信息了

這個流程小伙伴們有沒有發現，用戶信息是放在JWT中的，是存放在客戶端（cookie，local storage）中的，服務器只需解碼驗證就行了，就可以知道獲取到用戶信息。而我們之前的Session方式就不一樣。

九、與Session-Cookie方式的區別

Session-Cookie方式的這里就不多作介紹了，之前文章已經介紹了。直接上圖說明區別

上圖是Sesson服務器方式，我們發現Session用戶信息是在服務器端存儲的。

我們再來看看JWT方式

上面的token即用戶信息是存儲在客戶端的，服務器端只要解碼即可。

十、JWT方式認證的好處

1、因為token存儲在客戶端，服務器只負責解碼。這樣不需要占用服務器端資源。

2、服務器端可以無限擴展，負載均衡器可以將用戶傳遞到任何服務器，服務器都能知道用戶信息，因為jwt里面包含了。

3、數據安全，因為有簽名，防止了篡改，但信息還是透明的，不要放敏感信息。

4、放入請求頭提交，很好的防止了csrf攻擊，

說了這么多的好處，那是不是JWT就非常適合替換掉Session方式呢？

十一、JWT方式的壞處

1、token失效問題

JWT方式最大的壞處就是無法主動讓token失效，小伙伴們會說token不是有過期時間嗎？是的，token本身是有過期時間，但token一旦發出，服務器就無法收回。

如：一個jwt的token的失效時間是3天，但我們發現這個token有異常，有可能被人登錄，那真實的用戶可以修改密碼。但是即使修改了密碼，那個異常的token還是合法的，因為3天的失效時間未到，我們服務器是沒法主動讓異常token失效。

2、數據延時，不一致問題

還有個問題就是因為jwt中包含了用戶的部分信息，如果這些部分信息修改了，服務器獲取的還是以前的jwt中的用戶信息，導致數據不一致。

十二、總結

小伙伴們怎么去選擇Session的方式，是用傳統的Sesion-Cookie服務器方式，還是用JWT方式，具體集合業務看。不過老顧這里推薦還是用傳統的方式，因為以后的業務很有可能會用到用戶Session。好了，謝謝！！！