探寻JWT的本质：它是什么？它有什么作用？

news2025/2/22 10:11:06

JWT（JSON Web Token）是一种基于 JSON 格式的轻量级令牌（token）协议，它被广泛应用于网络应用程序的身份验证和授权。相较于传统的 session-based 认证机制，JWT 具有更好的扩展性和互操作性，同时也更安全可靠。

JWT 的结构由三部分组成：头部（header）、载荷（payload）和签名（signature）。头部和载荷使用 Base64 编码后，通过点号（.）连接成为一个字符串，这个字符串就是 JWT 的第一部分。签名由头部、载荷和一个密钥（secret）使用特定的算法计算得出，用于验证 JWT 的合法性。

头部部分包含了 JWT 的元数据信息，例如使用的加密算法、类型等等。载荷部分则是 JWT 所要传递的信息，可以是任何 JSON 格式的数据。常见的 payload 包含用户 ID、角色、过期时间等等。签名部分则是为了防止 JWT 被篡改，使用了一个密钥对头部和载荷进行签名生成的字符串。

JWT 的优点在于它可以跨越多个域名和多个平台，使得身份验证和授权变得更加简单和安全。在使用 JWT 进行身份验证时，服务端在用户登录成功后，将用户 ID、用户名等信息加密成为 JWT 并发送给客户端，客户端在接下来的每个请求中都将 JWT 作为认证信息发送给服务端。服务端在接收到请求后，通过验证 JWT 的签名和有效期，判断该请求是否合法。

JWT数据组成图

除了上文提到的优点，JWT 还具有以下特点：

无状态

JWT 不需要在服务端存储任何状态，客户端可以携带 JWT 来访问服务端，从而使服务端变得无状态。这样，服务端就可以更轻松地实现扩展和负载均衡。

可自定义

JWT 的载荷部分可以自定义，可以存储任何 JSON 格式的数据。这意味着我们可以使用 JWT 来实现一些自定义的功能，例如存储用户喜好、配置信息等等。

可扩展性强

JWT 有一套标准规范，因此很容易在不同平台和语言之间共享和解析。此外，开发人员还可以通过自定义扩展声明（claims）来实现更加灵活的功能。

可调试性好

由于 JWT 的内容是以 Base64 编码后的字符串形式存在的，因此非常容易进行调试和分析。

然而，JWT 也存在一些缺点和注意事项：

安全性取决于密钥管理

JWT 的安全性取决于密钥的管理。如果密钥被泄露或者被不当管理，那么 JWT 将会受到攻击。因此，在使用 JWT 时，一定要注意密钥的管理，包括生成、存储、更新、分发等等。

无法撤销令牌

由于 JWT 是无状态的，一旦 JWT 被签发，就无法撤销。如果用户在使用 JWT 认证期间被注销或禁用，那么服务端就无法阻止该用户继续使用之前签发的 JWT。因此，开发人员需要设计额外的机制来撤销 JWT，例如使用黑名单或者设置短期有效期等等。

需要传输到客户端

由于 JWT 包含了用户信息和授权信息，因此 JWT 需要传输到客户端。这意味着 JWT 有被攻击者窃取的风险，因此开发人员需要采取措施来保护 JWT，例如使用 HTTPS、设置短期有效期等等。

载荷大小有限制

由于 JWT 需要传输到客户端，因此载荷大小也有限制。一般来说，载荷大小不应该超过 1KB，否则会影响性能。

在实际开发中，JWT 的使用场景非常广泛。下面是一些常见的场景：

Web 应用程序
Web 应用程序是 JWT 最常见的使用场景之一。开发人员可以将 JWT 作为用户认证和授权的机制，从而实现无状态的身份验证和授权。
移动应用程序
移动应用程序通常需要访问多个 API，因此 JWT 可以作为移动应用程序的身份验证和授权机制。开发人员可以使用 JWT 来实现单点登录和授权，从而提高应用程序的性能和安全性。
IoT 设备
IoT 设备通常需要进行身份验证和授权，以保护设备和数据的安全。JWT 可以作为 IoT 设备的身份验证和授权机制，从而实现设备间的安全通信。
微服务架构
微服务架构通常由多个服务组成，因此需要实现服务间的安全通信和授权。JWT 可以作为微服务架构的身份验证和授权机制，从而实现服务间的安全通信和授权。