JWT(JSON Web Token)是一种基于开放标准的令牌(Token),用于在不同实体之间传递和验证信息。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。
头部(Header)包含了关于令牌类型和加密算法的信息。它使用Base64编码,并以JSON格式表示。header通常包含两个字段:
示例:
{
"alg": "HS256",
"typ": "JWT"
}
载荷(Payload)是JWT的主要内容,也是存储实际信息的部分。它也使用Base64编码,并以JSON格式表示。payload包含一组称为"声明"(Claims)的键值对,用于在令牌中传递有关用户、角色、权限和其他相关信息。
示例:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
签名(Signature)用于验证JWT的真实性和完整性。签名是通过将编码后的头部和载荷与秘密密钥进行加密生成的,以确保令牌在传输过程中未被篡改。签名的生成算法取决于头部中指定的"alg"字段。
示例:
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
secret
)
JWT的设计目标是实现无状态身份验证和授权机制,使得应用程序在服务端无需存储会话信息,可以根据JWT的内容对用户进行认证和授权。JWT通过简洁、自包含和数字签名等特性,提供了一种安全可靠的身份验证解决方案,广泛应用于现代的分布式系统和身份验证机制中。
要在JWT中设置过期时间,可以在Payload(载荷)中添加一个名为"exp"的标准声明(Claim),表示JWT的过期时间。"exp"声明的值是一个数值类型,表示某个时间点的UNIX时间戳,单位为秒或毫秒。
以下是一个示例Payload,包括了设置过期时间的"exp"声明:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022,
"exp": 1516239122 // 设置JWT的过期时间为 1516239122 秒
}
在生成JWT时,需要计算当前时间和过期时间,确保生成的JWT在当前时间之后,且在过期时间之前使用。在验证JWT时,需要检查"exp"声明,确保当前时间未超过JWT的过期时间,以确保JWT未失效。
设置过期时间可以增强JWT的安全性,避免长时间使用老旧的令牌造成潜在的安全风险,例如未经授权的访问。因此,建议在生成JWT时始终包含过期时间,以提高系统的安全性。