一、JWT ( JSON Web Token ) JWT 结构化令牌 https://jwt.io/
JWT 这种结构化体可以分为 HEADER(头部)、PAYLOAD(数据体)和 SIGNATURE(签名)三部分。
header.payload.signature
目前 OAuth 2.0 的令牌只支持一种类型,那就是 bearer 令牌
二、JWT授权为什么要在 Authorization标头里加个Bearer ?
Authorization : Bearer Token 为什么不写成 Authorization : Token。
这是因为 W3C 的 HTTP 1.0 规范,Authorization 的格式是:
Authorization: <type> <authorization-parameters>Bearer 是授权的类型,常见的授权类型还有:
Basic 用于 http-basic 认证;
Bearer 常见于 OAuth 和 JWT 授权;
Digest MD5 哈希的 http-basic 认证 (已弃用)
AWS4-HMAC-SHA256 AWS 授权
三、JWT好处
每次提到无状态的 JWT 时相信都会看到另一种基于 Session 的用户认证方案介绍,这里也不例外,Session 的认证流程通常如下所示。
这种方案有一些缺点:
- 需要从内存或数据库里存取 session 数据
- 扩展性差,对于分布式应用,需要实现 session 数据共享
JWT 正好可以解决这些问题。
JWT 的魔法很简单,将需要使用到的用户数据等信息放入 JWT 里面,每次请求都会携带上,只要保证密钥不泄露,JWT 就无法伪造。
