例子:token = SlwJwt.createToken(TokenUtil.header, secretKey.getBytes(), payload);
JSON Web令牌以紧凑的形式由三部分组成,这些部分由点(.)分隔,分别是:头(Header)、有效载荷(Playload)、签名(Signature);
Header:对TokenUtil.header(含有加密算法)进行Base64Url编码得到jwt的第一部分;
Playload:存放有效信息的地方,Base64Url编码得到第二部分;
Signature:是整个数据的认证信息。一般根据前两步的数据,然后通过header中声明的加密方式进行加盐secret组合加密,然后就构成了jwt的第3部分
此时 signature字段就是关键了,能被解密出明文的,只有header和payload
假如黑客/中间人串改了payload,那么服务器可以通过signature去验证是否被篡改过
在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比 signature 是否一致,如果一致则说明没有被篡改。
所以为什么说服务器的密钥,也就是例子中的secretKey.getBytes()不能被泄漏。只要密钥不被泄露,Signature无法正确,所以就会被服务器识别出来伪造信息。