JWT令牌（Token）设计

JWT（JSON Web Token）是一种基于开放标准的令牌（Token），用于在不同实体之间传递和验证信息。它由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

1. 头部（Header）包含了关于令牌类型和加密算法的信息。它使用Base64编码，并以JSON格式表示。header通常包含两个字段：

   • "alg"：指定签名算法，例如"HMAC SHA256"或"RSA"等。
   • "typ"：指定令牌类型，通常为"JWT"。

   示例：

   {
     "alg": "HS256",
     "typ": "JWT"
   }
   

2. 载荷（Payload）是JWT的主要内容，也是存储实际信息的部分。它也使用Base64编码，并以JSON格式表示。payload包含一组称为"声明"（Claims）的键值对，用于在令牌中传递有关用户、角色、权限和其他相关信息。

   • 标准声明：标准化的声明，如"iss"（发布者）、"sub"（主题）、"aud"（观众）和"exp"（过期时间）等。
   • 私有声明：自定义的声明，可以根据需求自定义添加其他信息。

   示例：

   {
     "sub": "1234567890",
     "name": "John Doe",
     "iat": 1516239022
   }
   

3. 签名（Signature）用于验证JWT的真实性和完整性。签名是通过将编码后的头部和载荷与秘密密钥进行加密生成的，以确保令牌在传输过程中未被篡改。签名的生成算法取决于头部中指定的"alg"字段。

   示例：

   HMACSHA256(
     base64UrlEncode(header) + "." +
     base64UrlEncode(payload),
     secret
   )
   

JWT的设计目标是实现无状态身份验证和授权机制，使得应用程序在服务端无需存储会话信息，可以根据JWT的内容对用户进行认证和授权。JWT通过简洁、自包含和数字签名等特性，提供了一种安全可靠的身份验证解决方案，广泛应用于现代的分布式系统和身份验证机制中。

注意：过期时间的设置

要在JWT中设置过期时间，可以在Payload（载荷）中添加一个名为"exp"的标准声明（Claim），表示JWT的过期时间。"exp"声明的值是一个数值类型，表示某个时间点的UNIX时间戳，单位为秒或毫秒。

以下是一个示例Payload，包括了设置过期时间的"exp"声明：

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516239122  // 设置JWT的过期时间为 1516239122 秒
}

在生成JWT时，需要计算当前时间和过期时间，确保生成的JWT在当前时间之后，且在过期时间之前使用。在验证JWT时，需要检查"exp"声明，确保当前时间未超过JWT的过期时间，以确保JWT未失效。

设置过期时间可以增强JWT的安全性，避免长时间使用老旧的令牌造成潜在的安全风险，例如未经授权的访问。因此，建议在生成JWT时始终包含过期时间，以提高系统的安全性。