JWT：JSON Web Token 的缩写

由三部分组成：Header（头部）、Payload（负载）、Signature（签名）。
随着技术的发展，分布式web应用的普及，通过session管理用户登录状态成本越来越高，因此慢慢发展成为token的方式做登录身份校验，然后通过token去取redis中的缓存的用户信息，随着之后jwt的出现，校验方式更加简单便捷化，无需通过redis缓存，而是直接根据token取出保存的用户信息，以及对token可用性校验，单点登录更为简单。

因此，JWT通常如下所示： xxxxx.yyyyy.zzzzz

JWTString=base64UrlEncode(Header).base64UrlEncode(Payload).HMACSHA256(base64UrlEncode(header)+“.”+base64UrlEncode(payload),secret)

header

JWT第一部分是header,header主要包含两个部分,alg指加密类型，可选值为HS256、RSA等等，typ=JWT为固定值，表示token的类型。

{"alg": "HS256","typ": "JWT"
}

Payload

JWT第二部分是payload,payload是token的详细内容,一般包括iss (发行者), exp (过期时间), sub(用户信息), aud (接收者),以及其他信息，详细介绍请参考官网,也可以包含自定义字段。

{"X-UserId": "001","user_name": "user001","scope": ["read", "write", "trust"],"exp": 1678817795,"jti": "fb118972-ea97-42b0-b16e-a68acf5f7ab9","client_id": "xxx"
}

Signature

1. 签名属于jwt的第三部分。主要是把头部的base64UrlEncode与负载的base64UrlEncode拼接起来，再进行HMACSHA256加密，加密结果再进行base64url加密，最终得到的结果作为签名部分

2. 当接收方接收到一个JWT的时候，首先要对这个JWT的完整性进行验证，这个就是签名认证。它验证的方法其实很简单，只要把header做base64url解码，就能知道JWT用的什么算法做的签名，然后用这个算法，再次用同样的逻辑对header和payload做一次签名，并比较这个签名是否与JWT本身包含的第三个部分的串是否完全相同，
   只要不同，就可以认为这个JWT是一个被篡改过的串，自然就属于验证失败了。接收方生成签名的时候必须使用跟JWT发送方相同的密钥，意味着要做好密钥的安全传递或共享

signature这部分的内容是这样计算得来的:

1、EncodeString = Base64(header).Base64(payload)
2、最终签名 = HS256(EncodeString,“秘钥”) --HMAC计算返回原始二进制数据后进行Base64编码

signature模型

base64url(//HMAC计算返回原始二进制数据后进行Base64编码HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),       your-256-bit-secret (秘钥加盐)     ) 
)

demo

authorization="Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJYLVVzZXJJZCI6IjExMDA0NSIsInVzZXJfbmFtZSI6Imxpamlhbmp1biIsInNjb3BlIjpbInJlYWQiLCJ3cml0ZSIsInRydXN0Il0sImV4cCI6MTY3NTAyMTQ5MywianRpIjoiZTRkMmNmNzAtNzhkNy00NGFiLWFiYTMtNDM2NjJkN2JiN2ViIiwiY2xpZW50X2lkIjoiamRfcWluZ3podSIsIlgtVXNlck9wZW5JZCI6bnVsbH0.IxdAhvMfwM74ENa8Ify1cu-5lBcd4GPip6Dy0gSePQw"
JWT_SECRET="4fd300e56f2d66910c140165a2f394d5"

HMAC在线验证：https://1024tools.com/hmac

参考：使用JWT做用户登陆token校验