|
|
@@ -23,9 +23,9 @@ Payload(有效载荷)
|
|
|
Signature(签名)
|
|
|
|
|
|
因此,JWT通常如下所示。
|
|
|
-
|
|
|
+<pre class="prettyprint">
|
|
|
xxxxx.yyyyy.zzzzz
|
|
|
-
|
|
|
+</pre>
|
|
|
让我们分解不同的部分。
|
|
|
|
|
|
<b>Header(标头)</b>
|
|
|
@@ -95,9 +95,9 @@ HMACSHA256(
|
|
|
由于缺乏安全性,您也不应该将敏感的会话数据存储在浏览器中。
|
|
|
|
|
|
每当用户想要访问受保护的路由或资源时,用户代理通常应使用授权<b>Authorization</b>在<b>Bearer</b>承载模式标头中发送JWT 。标头的内容应如下所示:
|
|
|
-
|
|
|
+<pre class="prettyprint">
|
|
|
Authorization: Bearer <token>
|
|
|
-
|
|
|
+</pre>
|
|
|
在某些情况下,这可以是无状态授权机制。服务器的受保护路由将在<b>Authorization</b>标头中检查有效的JWT ,如果存在,则将允许用户访问受保护的资源。如果JWT包含必要的数据,则可以减少查询数据库中某些操作的需求,尽管这种情况并非总是如此。
|
|
|
|
|
|
如果令牌是在<b>Authorization</b>标头中发送的,则跨域资源共享(CORS)不会成为问题,因为它不使用cookie。
|
shimingxy