JWT 结构

Json web token的结构

Header 头部    +    Payload 负载    +    Signature 签名

1.JWT-header

header由两部分组成： 令牌类型 + 散列算法

JWT头部分是一个描述JWT元数据的JSON对象，通常如下所示。

{
"alg": "HS256",
"typ": "JWT"
}
//经过base64编码，形成JWT的第一部分。

2.有效载荷payload

有效载荷部分，是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。

JWT的第二部分是payload，其中包含claims。claims是关于实体（常用的是用户信息）和其他数据的声明

claims有三种类型： registered, public, and private claims。

Registered claims： 这些是一组预定义的claims，非强制性的，但是推荐使用，iss（发行人）， exp（到期时间），sub（主题）， aud（观众）等；
Public claims: 自定义claims，注意不要和JWT注册表中属性冲突，这里可以查看JWT注册表；
Private claims:这些是自定义的claims，用于在同意使用这些claims的各方之间共享信息，它们既不是Registered claims，也不是Public claims；

{
  "sub": "1234567890",
  "name": "Tom",
  "admin": true
}
//JSON对象也使用Base64 URL算法转换为字符串保存。

3.签名哈希

签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

在计算出签名哈希后，JWT头，有效载荷和签名哈希的三个部分组合成一个字符串，每个部分用"."分隔，就构成整个JWT对象。

Base64URL算法

JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似，稍有差别。

作为令牌的JWT可以放在URL中（例如api.example/?token=xxx）。 Base64中用的三个字符是"+"，"/“和”="，由于在URL中有特殊含义，因此Base64URL中对他们做了替换："=“去掉，”+“用”-“替换，”/“用”_"替换，这就是Base64URL算法。

Reference

https://blog.csdn.net/weixin_45393094/article/details/106523166