- JWT介紹
Json web token (JWT), 是爲了在網絡應用環境間傳遞聲明而執行的一種基於JSON的開放標準((RFC 7519).該token被設計爲緊湊且安全的, 特別適用於分佈式站點的單點登錄(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的用戶身份信息, 以便於從資源服務器獲取資源,也可以增加一些額外的其它業務邏輯所必須的聲明信息,該token也可直接被用於認證,也可被加密。 - 優點
- 體積小、傳輸快
- 支持跨域授權,因爲跨域無法共享cookie
- 分佈式系統中,很好地解決了單點登錄問題
- 缺點
因爲JWT是無狀態的,因此服務端無法控制已經生成的Token失效,是不可控的。 - 使用場景
(a) 認證,這是比較常見的使用場景,只要用戶登錄過一次系統,之後的請求都會包含簽名出來的token,通過token也可以用來實現單點登錄。
(b) 交換信息,通過使用密鑰對來安全的傳送信息,可以知道發送者是誰、放置消息被篡改。