根据参考文献8中的介绍,JWT Token主要分为3个部分:
1)标题(Header):主要记录令牌类型、签名算法(加密算法)类型,格式为Json字符串,然后使用Base64编码字符串;
2)有效负载(Payload):包括账号、姓名、颁发者等信息的声明集合,格式为Json字符串,然后使用Base64编码字符串。该部分为Token的关键内容,从中可以获取所用用户账号信息,但由于仅用Base64处理,没有什么安全性可言,最好不要在其中放置密码等敏感数据。参考文档8中将声明信息分为3类:已注册声明(参考文献10)、公共声明(参考文献9)、自定义声明(约定好的、在各个系统之间传递的数据);
3)签名(Signature):该部分内容的产生方式是用标题中指定的加密算法,使用密钥对标题和有效负载加密或签名(如下图所示)。签名部分的数据起到防篡改的作用,只要密钥未泄露,接收JWT Token的一方根据标题和有效负载,使用相同的算法及密钥应该也能生成相同的签名(非对称算法应该是完成验签),只要和Token中的签名一致即表明Token未被篡改,是可信的。
分析参考文献1-7,生成JWT Token主要使用Claim、SigningCredentials、JwtSecurityToken和JwtSecurityTokenHandler类:
1)Claim:与之前基于Cookie、Session认证中的声明类一样,保存各类用户信息,Token中有效负载部分的主体内容即为Claim对象实例;
2)SigningCredentials:加密类,该类的构造函数可以接收密钥及加密算法类型,以支持签名/验签操作;
3)JwtSecurityToken:该类为Token的结构化数据类,如下图所示,通过该类可以设置Token中的有效负载、加密方式、过期时间等数据;
4)JwtSecurityTokenHandler:该类的WriteToken函数基于JwtSecurityToken实例生成Token字符串。
上一篇文章中的测试程序使用参考文献4的代码创建Token,将Token字符串放到参考文献8提供的Token解析页面,可以看到能正确的从Token中将标题和有效负载中的内容还原。
找了个在线解析Base64字符串的页面,将Token中的有效负载内容解码,可以看到原始内容,因此最好不要在其中放置敏感内容,以防数据泄露。
参考文献:
[1]https://www.jianshu.com/p/a2804e72d296
[2]https://blog.csdn.net/sD7O95O/article/details/85043160
[3]https://www.cnblogs.com/qiongkangle/p/13347283.html
[4]https://www.cnblogs.com/xbhp/p/17401507.html
[5]https://www.cnblogs.com/superstar/p/16491428.html
[6]https://blog.csdn.net/weixin_44877917/article/details/140609294
[7]https://blog.csdn.net/qq_40287041/article/details/143368882
[8]https://jwt.io/introduction
[9]https://www.iana.org/assignments/jwt/jwt.xhtml
[10]https://tools.ietf.org/html/rfc7519#section-4.1