结构详解:Header、Payload、Signature与编解码)
004、JWT结构详解:Header、Payload、Signature与编解码
昨天排查线上问题,一个微服务间的接口突然返回403。日志里只有一句“Invalid token”,抓包看到Authorization头里明明带着Token,格式也没错。最后发现是某个服务偷偷升级了JWT库,签名算法默认配置变了。这种问题不深入理解JWT的结构,根本无从下手。
今天我们就拆开一个JWT,看看它到底是怎么组装起来的。
一、先看一个完整的JWT长什么样
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c注意中间的两个点,把字符串分成了三段。这就是JWT的标准格式:Header.Payload.Signature。每段都是Base64Url编码后的JSON,别被那一长串字符吓到,解码看看就明白了。
二、Header:元数据声明
第一段解码后是这样的:
{
