JWT(JSON Web Token)是一種開放標準(RFC 7519),它定義了一種緊湊且自包含的方式,用於在各方之間安全地傳輸信息。這種信息可以被驗證和信任,因為它是數字簽名的。
JWT由三部分組成,用點(.)分隔:頭部(Header)、有效載荷(Payload)和簽名(Signature)。頭部指定簽名算法,有效載荷包含聲明,簽名用於驗證消息未被篡改。
認證(最常見的場景)、信息交換(JWT可以安全地傳輸信息,因為它們可以被簽名)、授權(包含用戶權限信息)以及單點登錄實現。
JWT支持多種簽名算法,主要分為兩類:基於HMAC的對稱算法(如HS256)和基於RSA/ECDSA的非對稱算法(如RS256、ES256)。對稱算法使用相同的密鑰簽名和驗證,非對稱算法使用私鑰簽名,公鑰驗證。
不要在JWT中存儲敏感信息(如密碼),因為JWT的有效載荷部分只是Base64編碼,不是加密的。對於需要高安全性的應用,建議使用較短的過期時間並實施令牌輪換策略。
當JWT過期後,服務器會拒絕這個令牌。推薦的處理方式是實現刷新令牌(Refresh Token)機制,客戶端使用刷新令牌獲取新的訪問令牌,而不必要求用戶重新登錄。刷新令牌通常有更長的有效期,但應該謹慎存儲。
嚴格來說,JWT設計為無狀態令牌,不能被真正撤銷。但有幾種常見解決方案:維護已撤銷令牌的黑名單(可能會抵消JWT無狀態的優勢),使用較短的過期時間配合刷新令牌,或者在令牌中嵌入版本標識,服務器可以拒絕舊版本。
JWT是自包含的令牌,包含所有必要信息,適合分佈式系統,不需要服務器存儲會話狀態。Session基於服務器端存儲,需要維護會話狀態,更適合單服務器架構。JWT對擴展更友好,但撤銷複雜;Session易於撤銷,但擴展性較差。