最後更新:
Click to expand / collapse
JWT(JSON Web Token)是用於許多API和微服務體系結構的現代授權和安全數據交換標準。我們實施對JWT的全面支持,以驗證用戶和服務、管理會話以及按角色劃分訪問權限。
JWT令牌存儲在客戶端上,無需在服務器上進行會話,並且訂閱以確保真實性和防偽性。
包含JWT的內容
| 令牌中的字段 | 指定 |
|---|---|
| sub | 用戶或服務標識符 |
| exp | 令牌動作結束時間 |
| roles / scopes | 用戶角色和可用權限 |
| signature | 用於驗證的數字簽名 |
| custom claims | 任何其他數據:語言,大廳ID,貨幣等。 |
實現的特點
格式: 'header。payload.signature` (в base64)
簽名算法: HS256(對稱)和RS256(不對稱)
refresh令牌和旋轉支持
使用CORS、移動、Web和服務器到服務器客戶端
在Cookie、localStorage或標題中存儲令牌的能力
使用JWT的好處
Stateless: 無需服務器會話
方便移動、SPA和微服務
可擴展性-易於在多種服務上實現
客戶端與API之間的快速數據交換
靈活性-您可以將授權所需的任何數據存儲在令牌中
特別相關的地方
移動和前端應用
服務內授權(S2S)
具有大量並發用戶的平臺
需要清晰的基於角色的訪問模式的系統