JWT (JSON Web Token)
JWT令牌存储在客户端上,无需在服务器上进行会话,并且订阅以确保真实性和防伪性。
包含JWT的内容
| 令牌中的字段 | 目的 |
|---|---|
| sub | 用户或服务标识符 |
| exp | 令牌终止时间 |
| roles/scopes | 用户角色和可用权限 |
| 签名 | 用于验证的数字签名 |
| custom claims | 任何额外数据:语言、大厅身份证、货币等 |
实现的特点
格式:'header。payload.signature` (в base64)
签名算法:HS256(对称)和RS256(不对称)
refresh令牌和旋转支持
使用CORS、移动、Web和服务器到服务器客户端
在Cookie、localStorage或标题中存储令牌的能力
使用JWT的好处
Stateless:无需服务器会话
方便移动、SPA和微服务
可扩展性-易于在多种服务上实现
客户端与API之间的快速数据交换
灵活性-您可以将授权所需的任何数据存储在令牌中
特别相关的地方
移动和前端应用
服务内授权(S2S)
具有大量并发用户的平台
需要清晰的基于角色的访问模式的系统
JWT是API授权和安全性的强大而灵活的工具。它提供了可扩展且安全的应用程序操作,不受服务器状态的影响。
联系我们
请填写下方表格,我们会尽快回复您。