当前位置：首页 > news >正文

Token和JWT的关系详细讲解

news 2025/6/30 22:27:56

Token 和 JSON Web Token (JWT) 是两个相关但概念上不同的术语，它们在现代 Web 应用程序的身份验证和授权中扮演着重要角色。下面将详细介绍两者之间的关系以及 JWT 的具体工作原理。

1. Token 概述

Token 是一种广义的概念，指的是任何可以证明用户身份或权限的令牌。它可以是任何形式的数据结构，只要能够被服务器识别并验证即可。常见的 Token 类型包括：

Session Tokens：通常存储在服务器端会话中，客户端每次请求时携带一个 Session ID。
OAuth Tokens：用于第三方登录和 API 访问控制。
JSON Web Tokens (JWT)：一种自包含的、基于标准的 Token 格式，广泛应用于无状态认证机制。

2. JWT 详解

2.1 定义

JSON Web Token (JWT) 是一种开放标准 (RFC 7519)，定义了一种紧凑且自包含的方式用于在网络应用环境间安全地传输信息。这些信息经过数字签名（使用 HMAC 算法或 RSA 公私钥对）以确保其完整性和不可篡改性。

2.2 结构

JWT 由三部分组成，每一部分之间用点号（.）分隔：

Header：头部包含了令牌的类型（通常是 JWT）和所使用的签名算法（如 HMAC SHA256 或 RSA）。例如：
```
{"alg": "HS256","typ": "JWT"
}
```
Payload（也称为 Claims）：载荷部分包含了声明，即要传达的信息。声明分为三种类型：
- Registered claims：预定义的标准字段，如 iss (issuer), exp (expiration time), sub (subject) 等。
- Public claims：可以自定义的公开字段，但为了避免冲突应先注册到 IANA 或采用 URL 命名空间。
- Private claims：应用程序内部使用的私有字段。
示例 Payload：
```
{"sub": "1234567890","name": "John Doe","admin": true,"iat": 1516239022
}
```
Signature：签名是用来验证消息是否来自可信任的一方，并保证数据没有被篡改。它通过对 Header 和 Payload 进行 Base64Url 编码后，再与密钥一起通过指定的算法计算得出。例如：
```
HMACSHA256(base64UrlEncode(header) + "." +base64UrlEncode(payload),your-256-bit-secret
)
```

最终生成的 JWT 可能看起来像这样：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWUsImlhdCI6MTUxNjIzOTAyMn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

2.3 工作流程

登录：当用户成功登录后，服务器会创建一个 JWT 并将其返回给客户端。
存储：客户端收到 JWT 后，通常会保存在本地存储、cookie 或内存中。
发送请求：每当客户端向受保护的资源发起请求时，都会在 HTTP 请求头中的 Authorization 字段附加 Bearer Token 形式的 JWT。
验证：服务器接收到带有 JWT 的请求后，解析并验证该 Token。如果有效，则处理请求；否则拒绝访问。