JWT生成Token及JWT令牌验证详解

JWT 即Json Web Token的简称，它是一种将用户登录状态以及数据用经过加密的json格式存储在客户端，用户的每次请求都会把该json字符串发送到服务端，服务端从而能对用身份进行鉴别的方案，简单来说，JWT一种用户身份认证的解决方案。

JWT身份认证相比于其他身份认证方案有如下几个优点：

一、JWT优点：

1、无状态，易扩展，适合分布式应用；

2、可以把用户身份验证信息所需信息存储在本地，而服务端则可以不用存储用户信息即可进行身份验证。

jwt身份认证方法虽然，但是其也有缺点的，其具有如下几个缺点：

1、JWT令牌较长，占用用户本地存储空间比较大，而且也增加了传输载荷；

2、因为JWT的无状态性，在服务端对用户的身份进行更改后，无法立即生效，需要等到token有效期过后才能生效；

二、JWT具体实施方案

在开源平台有很多JWT插件，各种语言的版本都有，比如PHP的有php-jwt，JAVA有java-jwt等，这些插件可以自行到GitHub搜索下载，所以我们使用JWT进行身份认证时完全无需自己写jwt实现模块。

不管哪种语言的JWT实现方案，其原理基本一致，一个简单的JWT类通常会包含如下三个部分，如下以php-jwt为例给大家介绍下：

1、token配置项：

$token = [

'iss' => '', //签发者 可选

'aud' => '', //接收该JWT的一方，可选

'exp' => 7200, //过期时间,这里设置2个小时

'data' => $data//需要传递的用户身份信息，比如用户ID等

];

2、加密方法：

JWT::encode($token, 'jwt加密秘钥', 'HS256');

//该方法有三个参数，第一个就是token配置参数，第二个就是jwt加密秘钥，该参数视情况配置，越复杂安全性越高，第三个参数就是jwt加密方式，默认为'HS256'密码方式，该方法返回类似如下的一段JSON字符串（jwt令牌）：

yJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwia656WEW665M5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_IOkrer4

3、验证方法

JWT::decode('jwt令牌', new Key('jwt加密秘钥', 'HS256'));

//该方法用来验证客服端传递给服务器的JSON字符串（token令牌），该方法的第一个参数为客服端传递给服务器的JSON字符串（token令牌），第二个参数中的jwt加密秘钥和jwt加密方式必须要和加密方法中的参数完全一致，否则会导致验证失败。

简单来说，JWT身份验证流程是通过加密方法把客户信息、加密密钥、密钥的过期时间等采用指定的加密方式比如HS256进行加密后生成一段JSON字符串（token令牌），然后把该字符串返回给客户端，客户端通常采用cookie、localStorage或者sessionStorage保存到本地，以后客户每次请求都会通过header把该token令牌传递给服务器，服务器使用验证方法（该验证方法会先对token令牌进行分割，把里面的过期时间分割出来，先验证该令牌是否过期，如果没有过期，则采用相同的参数生成一个token令牌和客户端传递过来的令牌进行对比，如果二者一致则验证通过，如果不一致则代表该令牌为伪造）进行验证，假如该jwt令牌验证通过就代表该客户为合法登录的用户，这样就能保持该客户的登录状态了。

那么在客户端怎么通过header把token令牌传递给服务器呢？请看如下实例：

$.ajax({
headers: {
'Authorization': 'token令牌'
},
type: 'POST',
url: url,

data: data,
success: function (data) {
},
})

从上述代码可以看出，前端通过ajax或axios和前台接口进行交互时，是通过headers 的'Authorization'属性，把本地获取到的'token令牌'提交给后台进行鉴权的。

综上所述，一个简单的JWT token验证过程，包含token参数配置、token生成和验证，在实际应用中，token参数配置还可以配置客户端IP是否绑定，绑定了IP的token令牌安全性更高。

虽然JWT生成的token加密方式都比较成熟，但是JWT加密密钥过于简单的话，黑客还是可能伪造token的，所以为了系统的安全性，JWT加密不能过于简单，越复杂安全性越高。在token令牌传输过程中，务必使用https传送，以免被人截获从而造成用户身份被劫持。

下一章节给大家具体介绍下JWT登录鉴权的具体实施方案，有兴趣的朋友可以关注我。