JWT格式

由header、payload、signature三部分组成，中间用圆点(.)连接:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJhdWQiOiJpYW0uYXBpLm1hcm1vdGVkdS5jb20iLCJleHAiOjE2NDI4NTY2MzcsImlkZW50aXR5IjoiYWRtaW4iLCJpc3MiOiJpYW0tYXBpc2VydmVyIiwib3JpZ19pYXQiOjE2MzUwODA2MzcsInN1YiI6ImFkbWluIn0.Shw27RKENE_2MVBq7-c8OmgYdF92UmdwS8xE-Fts2FM

JWT中，每部分包含的信息如下：

Header

包含类型和加密算法，如

{"typ": "JWT",  // 类型为JWT"alg": "HS256" // 加密算法，这里是 HS256（alg 算法可以有多种）
}

在某些场景下，可能还会有 kid 选项，用来标识一个密钥 ID，例如：

{"alg": "HS256","kid": "XhbY3aCrfjdYcP1OFJRu9xcno8JzSbUIvGE2","typ": "JWT"
}

将Header进行base64编码：

$ echo -n '{"typ":"JWT","alg":"HS256"}'|base64
eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9

Payload

Payload 中携带 Token 的具体内容, 由三部分组成：JWT 标准中注册的声明（可选）、公共声明、私有声明。

JWT 标准中注册的声明部分，有以下标准字段：

本例中的 payload 内容为：

{"aud": "iam.authz.marmotedu.com", // 接收方“exp”:  1604158987, // 过期时间“iat”: 1604151787, // 签发时间“iss”: "iamctl", // 签发者“nbf": 1604151787 // 生效时间
}

同样将将 Payload 进行 base64 编码：

$ echo -n '{"aud":"iam.authz.marmotedu.com","exp":1604158987,"iat":1604151787,"iss":"iamctl","nbf":1604151787}'|base64
eyJhdWQiOiJpYW0uYXV0aHoubWFybW90ZWR1LmNvbSIsImV4cCI6MTYwNDE1ODk4NywiaWF0Ijox
NjA0MTUxNzg3LCJpc3MiOiJpYW1jdGwiLCJuYmYiOjE2MDQxNTE3ODd9

除此之外，还有公共的声明和私有的声明。公共的声明可以添加任何的需要的信息，一般添加用户的相关信息或其他业务需要的信息，注意不要添加敏感信息；私有声明是客户端和服务端所共同定义的声明，因为 base64 是对称解密的，所以一般不建议存放敏感信息。

Signature

将 Header 和 Payload 分别 base64 编码后，用 . 连接， 然后使用Header中加密方式，利用 secretKey 对连接后的字符串进行加密，加密后的字符串即为最终的 Signature。

secretKey 是密钥，保存在服务器中，一般通过配置文件来保存，例如：

最后生成的 Token 如下：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJhdWQiOiJpYW0uYXV0aHoubWFybW90ZWR1LmNvbSIsImV4cCI6MTYwNDE1ODk4NywiaWF0IjoxNjA0MTUxNzg3LCJpc3MiOiJpYW1jdGwiLCJuYmYiOjE2MDQxNTE3ODd9.LjxrK9DuAwAzUD8-9v43NzWBN7HXsSLfebw92DKd1JQ

签名后服务端会返回生成的 Token，客户端下次请求会携带该 Token。
服务端收到 Token 后会解析出 header和payload，然后用相同的加密算法和密钥再次计算Signature，和收到的Signature相比较，相同则认证通过。
（因此服务端无需保存token，收到后重新计算即可验证是否合法）