JWT(Json Web Token)定义了一种使用Json形式在网络间安全地传递信息的简洁开放的标准(RFC 7519)。JWT使用数字签名确保信息是可信的。

一、Session认证和Token认证

Http协议本身是无状态的，如果用户向服务器传递了用户名和密码进行了用户认证，那么下一次请求时用户还是需要进行同样的认证，因为根据Http协议，我们无法知道请求是由哪个用户发出的。所以，为了能识别哪个用户，免去每次都进行验证的麻烦，就有了传统的Session认证和token认证方案。

a) Session认证

Session认证的方案为：第一次用户认证请求通过时，服务器端存储用户的登录信息，然后在响应时传递给浏览器，浏览器保存为cookie，下次请求时把cookie发送给服务器，服务器根据cookie信息来识别是哪个用户。

Session认证适用于单个服务器的场合，如果用户增多，需要部署多个服务器时，Session认证就会暴露问题。因为每个用户在认证后，服务器都会记录Session，一般保存在内存中，随着认证用户增多，服务器开销也会增大；而且认证用户的后续请求都需要到这台保存了自己Session的服务器上验证Cookie。在多集群分布式的场合，这就造成了性能瓶颈，对负载均衡、应用的扩展都会造成影响。

进程外Session通过将Session保存在数据库或硬盘中可以解决服务器内存开销的问题，但仍然不便于扩展。

b) Token认证

Token认证也是无状态的，不需要在服务端保存认证用户的信息，它的认证流程为：用户使用用户名密码请求服务器；服务器验证用户，如果验证通过就发给用户一个token；客户端保存token，并在之后的每次请求都附上token；服务端验证token、返回数据。

Token认证机制不需要保存认证用户的信息、也不需要考录用户在那台服务器登录，可以很好地适应应用的扩展。

token的体积很小，请求服务端时，可以被附在URL、Header或是Post参数中。而且token中包含了用户相关的必要、非私密的相信，免去了服务端再次查询数据库的开销。

c) JWT的使用场景

最常用于对已经登录用户的认证，比如单点登录，只需在每次请求中都附上JWT，JWT体积小巧且支持跨域、多语言。

JWT也可以用于信息传输，因为有根据payload和header计算出的签名的保护，可以确保传递的信息不被篡改。

三、JWT的构成

JWT由Header、Payload、Signature三部分构成，之间用点号风格，构成xx.yy.zz的形式。

a) Header声明了token类型、算法类型（HMAC SHA256或RSA），比如

{

"alg": "HS256",

"typ": "JWT"

}

然后对header做Base64URL编码。

b) Payload中保存了声明信息，声明信息有标准声明、公开声明、自定义声明三种类型，前两种声明在相关的标准中已经规定https://www.iana.org/assignments/jwt/jwt.xhtml，推荐但不强制使用，标准声明举例有：

iss: jwt签发者

sub: jwt所面向的用户

aud: 接收jwt的一方

exp: jwt的过期时间，这个过期时间必须要大于签发时间

nbf: 定义在什么时间之前，该jwt都是不可用的.

iat: jwt的签发时间

jti: jwt的唯一身份标识，主要用来作为一次性token,从而回避重放攻击

发送方和接收方也可以自定声明。

{

"sub": "1234567890",

"name": "John Doe",

"admin": true

}

载荷信息也使用Base64URL编码。

c) Signature，签证信息是根据Header、Payload的Base64URL编码以及密钥(Secret)加密生成的，加密算法使用header中定义的类型。

d) Secret信息只保存在服务端，服务端为客户端签发jwt token要使用Secret，后续对客户端递交的jwt的验证也要使用Secret，所以一定要防止Secret的泄露。

四、JWT的使用

var secret = "h3h5k9kll789";

//JWT签发

var payload = new Dictionary

{

{ "UserID",123},

{"UserName","admin" }

};

//指定HMAC加密算法

IJwtAlgorithm algorithm = new HMACSHA256Algorithm();

IJsonSerializer serializer = new JsonNetSerializer();

IBase64UrlEncoder urlEncoder = new JwtBase64UrlEncoder();

IJwtEncoder encoder = new JwtEncoder(algorithm, serializer, urlEncoder);

var token = encoder.Encode(payload, secret);

//JWT验证及解析

IJsonSerializer serializer1 = new JsonNetSerializer();

IDateTimeProvider provider1 = new UtcDateTimeProvider();

IJwtValidator validator1 = new JwtValidator(serializer1, provider1);

IBase64UrlEncoder urlEncoder1 = new JwtBase64UrlEncoder();

IJwtDecoder decoder = new JwtDecoder(serializer1, validator1, urlEncoder1);

//解析出PayLoad

var json = decoder.Decode(token, secret, verify: true);

学习资料：如鹏网.net提高班http://www.rupeng.com/News/10/4603.shtml

http://www.jianshu.com/p/576dbf44b2ae

https://jwt.io/