jwt学习

基于token的鉴权机制也是无状态的(类似于http协议)，不需要保在服务端保留用户的认证或会话信息。
构成
jwt由三部分构成：头部、payload、签名，中间用.隔开
头部(header)
包含两部分信息：声明类型、声明加密的算法
例如：
{
“alg”: “HS256”,
“typ”: “JWT”
}
然后将头部进行base64加密，构成了jwt的第一部分
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9
如果可以将alg字段设成None，那么jwt的第三部分会被置空，这样任何token都是有效的，即造成任意用户访问
payload
存放数据有效信息的地方，包含三部分：标准中注册的声明、公共的声明、私有的声明
标准中注册的声明：
● iss: jwt签发者
● sub: jwt所面向的用户
● aud: 接收jwt的一方
● exp: jwt的过期时间，这个过期时间必须要大于签发时间
● nbf: 定义在什么时间之前，该jwt都是不可用的.
● iat: jwt的签发时间
● jti: jwt的唯一身份标识，主要用来作为一次性token，从而回避重放攻击。
公共的声明 ：
可以添加任何信息，一般添加用户的相关信息或其他业务需要的必要信息
私有的声明：
是提供者和消费者所共同定义的声明
例如：
{
“exp”: 1746333666,
“iat”: 1745728866,
“iss”: “xp”,
“nbf”: 1745728866,
“user_id”: 1,
“account”: “a61ca41d”,
“temp”: false
}
进行base64加密得到jwt第二部分：
eyJleHAiOjE3NDYzMzM2NjYsImlhdCI6MTc0NTcyODg2NiwiaXNzIjoieHAiLCJuYmYiOjE3NDU3Mjg4NjYsInVzZXJfaWQiOjEsImFjY291bnQiOiJhNjFjYTQxZCIsInRlbXAiOmZhbHNlfQ

签名
这个签名由三部分组成：header(base64之后)、payload(base64之后)、scecret_key
secret_key是保存在服务端的，jwt的签发也发生在服务端，secret_key就是用来进行jwt的签发和验证。

jwt认证
客户端接收服务器端返回的jwt，并存储在cookie或localStorage中，接下来的交互都会带有jwt
jwt一般是在请求头中加入Authorization，并加上Bearer标注。例如：
fetch(‘api/user/1’, {
headers: {
‘Authorization’: 'Bearer ’ + token
}
})