JWT是Auth0提出的通过对JSON进行加密签名来实现授权验证的方案
1、在服务器身份验证之后,将生成一个JSON对象并将其发送回用户
2、当用户与服务器通信时,客户在请求中发回JSON对象
3、为了防止用户篡改数据,服务器将在生成对象时添加签名,并对发回的数据进行验证
当用户使用他们的凭证登录成功后,一个JWT就会被返回,这个返回的token就是用户凭证。无论何时用户想要访问受保护的路由或者资源的时候,用户代理(浏览器)都应该带上JWT。通常JWT放在Authorization header中。
客户端通过Web表单将正确的用户名和密码发送到服务端的接口。服务端核对用户名和密码成功后,将用户的id等其他信息作为JWT Payload,服务端将JWT字符串作为登录成功的返回结果返回给客户端。客户端将返回的JWT以cookie的形式保存在浏览器上,并设置cookie的有效时间,客户端在每次请求时将JWT放入HTTP Header中的Authorization位。服务端对收到的JWT进行解密和校验。
温馨提示:
