token不合法是什么意思「token如何生成和验证」

欢迎关注头条号：老顾聊技术

精品原创技术分享，知识的组装工

目录

1. 前言
2. JWT是什么
3. JWT数据结构
4. Header
5. Payload
6. Signatu
7. JWT的工作方式
8. 基于JWT的身份认证
9. 与Session-Cookie方式的区别
10. JWT方式认证的好处
11. JWT方式认证的坏处
12. 总结

前言

t小伙伴们老顾在上一篇微服务下的分布式session该如何管理？介绍了Session实现方式，这篇文章中我们来了解一下JWT是何方神圣？以及JWT来实现分布式Session。

JWT是什么

tJWT一看就是简称，它的全称JSON Web Token，从字面上我们看出

1、数据是JSON格式

2、用于Web应用

3、是一个Token，也就是一个令牌方式

t看看官方的说明，它定义了一种紧凑且自包含的方式，用于在各方之间以JSON对象进行安全传输信息。这些信息可以通过对称/非对称方式进行签名，防止信息被串改。

紧凑的含义：就是JWT比较小，数据量不大，可以通过URL、POST参数或Header请求头方式进行传输。

自包含的含义：jwt可以让用户自定义JWT里面包含的用户信息，如：姓名、昵称等（不要放隐密的信息）。从而避免了多次查询数据库。

JWT数据结构

• JWT由三个部分组成

1、Header

2、Payload

3、Signatu

• 三者组合在一起

Header.Payload.Signatu

• 案例

t看上去是不是满乱，我们来依次看下里面的结构。

Header

t这个是JWT第一段数据，表示头部信息，主要的作用是描述JWT的元数据，上面的案例就是：

{ alg: "HS256", typ: "JWT"}

1、alg属性表示签名的算法，默认算法为HS256，可以自行别的算法。

2、typ属性表示这个令牌的类型，JWT令牌就为JWT。

t上面的JSON数据会通过Base64算法进行编码而成，看工具图

Payload

此为JWT第二段数据，用来存放实际需要传递的数据。JWT官方也规定了7个字段供选用

当然除了官方字段，我们可以自定义字段，以上面的案例，我们看下实际的数据

注意：这段也是用Base64算法，JWT默认是不加密的，任何人都可以获取，只要进行Base64解码就行了，所以不要把隐密的信息放到JWT中

Signatu

t此为JWT第三段数据，主要作用是对前面两段的数据进行签名，防止数据篡改。一般我们进行签名的时候会有个密钥（sect），只有服务器知道，然后利用Header中的签名算法进行签名，公式如下：

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), sect)

t算出签名后，把Header、Payload、Signatu三个部分拼成一个字符串，之间用（.）分隔，这样就可以把组合而成的字符串返回给用户了。

JWT的工作方式

t在用户进行认证登录时，登录成功后服务器会返回一个JWT给客户端；那这个JWT就是用户的凭证，以后到哪里去都要带上这个凭证token。尤其访问受保护的资源的时候，通常把JWT放在Authorization header中。要用 Bear schema，如header请求头中：

Authorization: Bear

基于JWT的身份认证

t上面的JWT的工作方式，其实就是一个完整的身份认证流程，我们这里把这个讲的在通俗一点。

1、用户提供用户名和密码登录

2、服务器校验用户是否正确，如正确，就返回token给客户端，此token可以包含用户信息

3、客户端存储token，可以保存在cookie或者local storage

4、客户端以后请求时，都要带上这个token，一般放在请求头中

5、服务器判断是否存在token，并且解码后就可以知道是哪个用户

6、服务器这样就可以返回该用户的相关信息了

t这个流程小伙伴们有没有发现，用户信息是放在JWT中的，是存放在客户端（cookie，local storage）中的，服务器只需解码验证就行了，就可以知道获取到用户信息。而我们之前的Session方式就不一样。

与Session-Cookie方式的区别

tSession-Cookie方式的这里就不多作介绍了，之前文章已经介绍了。直接上图说明区别

上图是Sesson服务器方式，我们发现Session用户信息是在服务器端存储的。

t我们再来看看JWT方式

t上面的token即用户信息是存储在客户端的，服务器端只要解码即可。

JWT方式认证的好处

1、因为token存储在客户端，服务器只负责解码。这样不需要占用服务器端资源。

2、服务器端可以无限扩展，负载均衡器可以将用户传递到任何服务器，服务器都能知道用户信息，因为jwt里面包含了。

3、数据安全，因为有签名，防止了篡改，但信息还是透明的，不要放敏感信息。

4、放入请求头提交，很好的防止了csrf攻击，

t说了这么多的好处，那是不是JWT就非常适合替换掉Session方式呢？

JWT方式的坏处

t一、token失效问题

tJWT方式最大的坏处就是无法主动让token失效，小伙伴们会说token不是有过期时间吗？是的，token本身是有过期时间，但token一旦发出，服务器就无法收回。

如：一个jwt的token的失效时间是3天，但我们发现这个token有异常，有可能被人登录，那真实的用户可以修改密码。但是即使修改了密码，那个异常的token还是合法的，因为3天的失效时间未到，我们服务器是没法主动让异常token失效。

t二、数据延时，不一致问题

t还有个问题就是因为jwt中包含了用户的部分信息，如果这些部分信息修改了，服务器获取的还是以前的jwt中的用户信息，导致数据不一致。

总结

t小伙伴们怎么去选择Session的方式，是用传统的Sesion-Cookie服务器方式，还是用JWT方式，具体集合业务看。不过老顾这里推荐还是用传统的方式，因为以后的业务很有可能会用到用户Session。好了，谢谢！！！

-End-

如有收获，请帮忙转发，您的鼓励是作者最大的动力，谢谢！

10几年的经验实战分享

相关微服务，分布式，高并发，高可用，企业实战，干货等原创文章正在路上

欢迎关注头条号：老顾聊技术

精品原创技术分享，知识的组装工

推荐阅读

1、Mysql索引结构演变，为什么最终会是那个结构呢？让你一看就懂

2、一场比赛涉及到的知识，用通俗易通的方式介绍并发协调

3、企业实战dis全方面思考，你思考了吗？

4、面试题：Thad的start和run的区别

5、面试题：什么是CAS？CAS的作用以及缺点

6、如何访问redis中的海量数据？避免事故产生

7、如何解决Redis热点问题？以及如何发现热点？

8、如何设计API接口，实现统一格式返回？

9、你真的知道在生产环境下如何部署tomcat吗？

10、分享一线互联网大厂分布式唯一ID设计 之 snowflake方案

11、分享大厂分布式唯一ID设计方案，快来围观

12、你想了解一线大厂的分布式唯一ID生成方案吗？

13、你知道如何处理大数据量吗？(数据拆分篇)

14、如何永不迁移数据和避免热点? 根据服务器指标分配数据量(揭秘篇)

15、你知道怎么分库分表吗？如何做到永不迁移数据和避免热点吗？

16、你了解大型网站的页面静态化吗？

17、你知道如何更新缓存吗？如何保证缓存和数据库双写一致性？

18、你知道怎么解决DB读写分离，导致数据不一致问题吗？

19、DB读写分离情况下，如何解决缓存和数据库不一致性问题？

20、你真的知道怎么使用缓存吗？

21、如何利用锁，防止缓存击穿？重构思想的重要性

22、海量订单产生的业务高峰期，如何避免消息的重复消费？

23、你知道如何保障生产端100%消息投递成功吗？

24、微服务下的分布式session该如何管理？