基于JWT的token身份认证方案

二、JSON Web Token是什么？

JWT是基于token的身份认证的方案。

json web token全称。可以保证安全传输的前提下传送一些基本的信息，以减轻对外部存储的依赖，减少了分布式组件的依赖，减少了硬件的资源。

可实现无状态、分布式的Web应用授权，jwt的安全特性保证了token的不可伪造和不可篡改。

本质上是一个独立的身份验证令牌，可以包含用户标识、用户角色和权限等信息，以及您可以存储任何其他信息（自包含）。任何人都可以轻松读取和解析，并使用密钥来验证真实性。

JWT就是一个字符串，经过加密处理与校验处理的字符串，形式为：

    A.B.C

A由JWT头部信息header加密得到
B由JWT用到的身份验证信息json数据加密得到
C由A和B加密得到，是校验部分

将header用base64加密，得到A。

载荷部分payload 
{ 
“iss”: “发行者”, 
“sub”: 主题”, 
“aud”: “观众”， 
“exp”:”过期时间”, 
“iat”:”签发时间” 
以下可以添加自定义数据 
“id”:”1”, 
“nickname”:”昵称” 
} 

根据JWT claim set[用base64]加密得到的。claim set是一个json数据，是表明用户身份的数据，可自行指定字段很灵活，也有固定字段表示特定含义（但不一定要包含特定字段，只是推荐）。
Base64算法是可逆的，不可以在载荷部分保存用户密码等敏感信息。如果业务需要，也可以采用对称密钥加密。

签名部分signature 
HMACSHA256(Base64(Header) + “.” + Base64(Payload), secret)，secret是加密的盐。
签名的目的是用来验证头部和载荷是否被非法篡改。 
验签过程描述：获取token值，读取Header部分并Base64解码，得到签名算法。根据以上方法算出签名，如果签名信息不一致，说明是非法的。

三、JSON Web Token工作原理

1. 初次登录：用户初次登录，输入用户名密码

2. 密码验证：服务器从数据库取出用户名和密码进行验证

3. 生成JWT：服务器端验证通过，根据从数据库返回的信息，以及预设规则，生成JWT

4. 返还JWT：服务器的HTTP RESPONSE中将JWT返还

5. 带JWT的请求：以后客户端发起请求，HTTP REQUEST HEADER中的Authorizatio字段都要有值，为JWT。格式Authorization: xxxxx.yyyyy.zzzzz。任何服务间的请求都要通过该请求头，以便其他服务可以应用授权。

四、jwt+redis的登录方案流程：

• 前端服务器收到用户登录请求，传给后台API网关。

• API网关把请求分发到用户服务里进行身份验证。

• 后台用户服务验证通过，然后从账号信息抽取出userName、login_time等基本信息组成payload，进而组装一个JWT，把JWT放入redis(因为退出的时候无法使jwt立即作废，所以使用保存在redis中，退出的时候delete掉就可以了，鉴权的时候加一层判断jwt是否在redis里，如果不在则证明jwt已过期作废)，然后包装到json数据返回到前端服务器，这就登录成功了。

• 前端服务器拿到JWT，进行存储（可以存储在缓存中，也可以存储在数据库中，如果是浏览器，可以存储在 localStorage 中，我实现的是放入到cookie里面）在后续请求中，在 HTTP 请求头中加上 JWT(前端在每次请求时将JWT放入HTTP Header中的Authorization位)。

• 登录后，再访问其他微服务的时候，前端会携带jwt访问后台，后台校验 JWT，验签通过后，返回相应资源和数据就可以了。

（这里没有将redis画出来）