jwt、token

什么是JWT

jwt是一段密文;然而密码是如何产生的？ 密码是由三个部分生成；

1、JWT头：JWT头部分是一个描述JWT元数据的JSON对象：{"alg":"hash256","type":"jwt"}

alg:表示签名使用的算法，默认为hmac sha256；type属性表示令牌的类型，最后使用base64算法将json对象转换为字符串保存

2 、有效载荷

有效载荷部分，是JWT的主体内容部分，也是一个JSON对象，包含需要传递的数据。 JWT指定七个默认字段供选择。

iss：发行人   exp：到期时间    sub：主题     aud：用户     nbf：在此之前不可用    iat：发布时间     jti：JWT ID用于标识该JWT

除以上默认字段外，我们还可以自定义私有字段，如下例：

{ "name":"aaaa",

"admin":true

}

默认情况下JWT是未加密的，任何人都可以解读其内容

3、签名哈希

签名哈希部分是对上面两部分数据签名，通过指定的算法生成哈希，以确保数据不会被篡改。

首先，需要指定一个密码（secret）。该密码仅仅为保存在服务器中，并且不能向用户公开。然后，使用标头中指定的签名算法（默认情况下为HMAC SHA256）根据以下公式生成签名。

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),

secret)

在计算出签名哈希后，JWT头，有效载荷和签名哈希的三个部分组合成一个字符串，每个部分用"."分隔，就构成整个JWT对象

4、base64算法

JWT头和有效载荷序列化的算法都用到了Base64URL。该算法和常见Base64算法类似，稍有差别。

作为令牌的JWT可以放在URL中（例如api.example/?token=xxx）。 Base64中用的三个字符是"+"，"/"和"="，由于在URL中有特殊含义，因此Base64URL中对他们做了替换："="去掉，"+"用"-"替换，"/"用"_"替换，这就是Base64URL算法

jwt的特点

1、JWT默认不加密，但可以加密。生成原始令牌后，可以使用改令牌再次对其进行加密。

2、当JWT未加密方法是，一些私密数据无法通过JWT传输。

3、JWT不仅可用于认证，还可用于信息交换。善用JWT有助于减少服务器请求数据库的次数。

4、JWT的最大缺点是服务器不保存会话状态，所以在使用期间不可能取消令牌或更改令牌的权限。也就是说，一旦JWT签发，在有效期内将会一直有效。

5、JWT本身包含认证信息，因此一旦信息泄露，任何人都可以获得令牌的所有权限。为了减少盗用，JWT的有效期不宜设置太长。对于某些重要操作，用户在使用时应该每次都进行进行身份验证。

6、为了减少盗用和窃取，JWT不建议使用HTTP协议来传输代码，而是使用加密的HTTPS协议进行传输

jwt的应用：

前后端分离

登录：

从上述可知：可以用jwt的签名以及 算法可以生成一段加密的字符串，而生成的字符串可以对其进行有效期设置，生成的字符串可以自定义，那么可以定义将用户的用户名、id、生成为token，

当用户首次在客户端登录之后，服务端进行对其校验和认证，如果都正确，那么服务端将为登录的用户生成一个token返回给客户端，客户端保存服务端返回的token；当客户端再次登录系统时，

客户端拿到第一次存储的token 提交到服务端，服务端对token 有效期及合法性校验；

如果token的时间失效则 返回登录页，重新登录，或者为用户再次重新生成新的一个token；

数据提交：

客户端存了token以后，每次和后台交互的时候，都把token携带上，服务端在过滤器或者拦截器时进行token的合法性校验；

jwt-session；

jwt认证成功之后；可将用户的信息交个session；

OAuth2

什么是OAuth

OAuth是一个关于授权（authorization）的开放网络协议，在全世界得到广泛应用，目前的版本是2.0版。

OAuth是一种安全的授权框架，提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置，授权第三方应用访问特定资源。它详细描述了系统中不同角色、用户、服务前端应用（比如API），以及客户端（比如网站或移动App）之间怎么实现相互认证。

Oauth2定义了一组相当复杂的规范。涉及到：Roles角色、Client Types客户端类型、Client Profile客户端描述、Authorization Grants认证授权、Endpoints终端等
 OAuth简单说就是一种授权的协议，只要授权方和被授权方遵守这个协议去写代码提供服务，那双方就是实现了OAuth模式。
举个例子

你想在京东购物，但你从来没注册过京东账号，又不想新注册一个再使用京东，怎么办呢？不用担心，京东已经为你这种懒人做了准备，用你的qq号可以授权给京东进行登录；
 Oauth2和jwt是完全不同的两种东西，一个是授权认证的框架，另一种则是认证验证的方式方法（轻量级概念）。OAuth2不像JWT一样是一个严格的标准协议，因此在实施过程中更容易出错。尽管有很多现有的库，但是每个库的成熟度也不尽相同，同样很容易引入各种错误。在常用的库中也很容易发现一些安全漏洞。