JWT的构成

第一部分我们称它为头部（header),第二部分我们称其为载荷（payload, 类似于飞机上承载的物品)，第三部分是签证（signature).

header

jwt的头部承载两部分信息：

1. 声明类型，这里是jwt
2. 声明加密的算法 通常直接使用 HMAC SHA256

完整的头部就像下面这样的JSON：

{
  'typ': 'JWT',
  'alg': 'HS256'
}

然后将头部进行base64加密（该加密是可以对称解密的),构成了第一部分.

playload

载荷就是存放有效信息的地方。这个名字像是特指飞机上承载的货品，这些有效信息包含三个部分

1. 标准中注册的声明
2. 公共的声明
3. 私有的声明

标准中注册的声明 (建议但不强制使用) ：

iss: jwt签发者
sub: jwt所面向的用户
aud: 接收jwt的一方
exp: jwt的过期时间，这个过期时间必须要大于签发时间
nbf: 定义在什么时间之前，该jwt都是不可用的.
iat: jwt的签发时间
jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击。

公共的声明 ： 公共的声明可以添加任何的信息，一般添加用户的相关信息或其他业务需要的必要信息.但不建议添加敏感信息，因为该部分在客户端可解密.

私有的声明 ： 私有声明是提供者和消费者所共同定义的声明，一般不建议存放敏感信息，因为base64是对称解密的，意味着该部分信息可以归类为明文信息。

定义一个payload:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

然后将其进行base64加密，得到Jwt的第二部分。

signature

jwt的第三部分是一个签证信息，这个签证信息由三部分组成：

1. header (base64后的)
2. payload (base64后的)
3. secret 这个部分需要base64加密后的header和base64加密后的payload使用.连接组成的字符串，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第三部分。

java中使用

添加依赖

<dependency>
            <groupId>io.jsonwebtoken</groupId>
            <artifactId>jjwt</artifactId>
            <version>0.9.0</version>
        </dependency>
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.47</version>
        </dependency>

生成与解密

String    appSecret            = "123456";
    // byte[] apiKeySecretBytes =
    // DatatypeConverter.parseBase64Binary(appSecret);
    byte[]    apiKeySecretBytes    = DatatypeConverter.parseString(appSecret).getBytes();
    /**
     * 创建jwt token
     * @param id
     * @param issuer
     * @param subject
     * @param ttlMillis
     * @return
     */
    private String createJWT(String id, String issuer, String subject, long ttlMillis) {
        Date now = new Date();
        SignatureAlgorithm signatureAlgorithm = SignatureAlgorithm.HS256;
        Key signingKey = new SecretKeySpec(apiKeySecretBytes, signatureAlgorithm.getJcaName());
        JwtBuilder builder = Jwts.builder().setId(id).setIssuedAt(now).setSubject(subject).setIssuer(issuer)
                .signWith(signatureAlgorithm, signingKey);
        if (ttlMillis >= 0) {
            long nowMillis = System.currentTimeMillis();
            long expMillis = nowMillis + ttlMillis;
            Date exp = new Date(expMillis);
            builder.setExpiration(exp);
        }
        return builder.compact();
    }
    /**
     * 验证jwt token
     * @param jwt
     */
    private void parseJWT(String jwt) {
        Jws<Claims> jwsData = Jwts.parser().setSigningKey(apiKeySecretBytes).parseClaimsJws(jwt);
        Claims claims = jwsData.getBody();
        System.out.println("jwt    : " + jwt);
        System.out.println("Header    : " + JSON.toJSONString(jwsData.getHeader()));
        System.out.println("Body      : " + JSON.toJSONString(jwsData.getBody()));
        System.out.println("Signature : " + jwsData.getSignature());
        System.out.println("ID: " + claims.getId());
        System.out.println("Subject: " + claims.getSubject());
        System.out.println("Issuer: " + claims.getIssuer());
        System.out.println("Expiration: " + claims.getExpiration());
    }

nodejs中使用

添加包

npm install jsonwebtoken --save

使用

var jwt = require('jsonwebtoken');
var payload = { foo: 'bar',jti:'1001',sub:'136',iat: 1525769787,iss:'ionio',exp:1525775787  };
// var payload = { foo: 'bar',jti:'1001',sub:'136',iat: Math.floor(Date.now() / 1000) - 30  };
var singRes =jwt.sign(payload, "123456");
console.log("singRes:",singRes);