前沿拓展：

凡科網站登錄

使用凡科建站免費版的客戶必須每個月至少登陸一次網站進行網站管理（而不是簡單的打開網站），免費版網站便能****，如果超過一個月沒有登錄，會發現網站已經關閉了，首先在登錄，登錄成功進入管理頁面，點擊“管理企業網站”，就能重新開啟網站并進行網站管理了。

最近和同事一起打羽毛球總是感覺跟不上節奏，我思考再三后得出結論，一定是我的拍子不行，因為我的技術肯定是沒有問題的。

OK，知道了原因之后我果斷打開淘寶，搜索尤尼克斯，接著頁面便出現了很多選擇，我選擇了林丹同款，點擊之后跳出了一個登錄頁面。哈，原來我還沒有登陸啊。

這簡單，熟練地輸入賬號密碼完成登錄，接著頁面出現了拍子的詳細信息。好的，現在就讓我來看看這塊拍子都有什么特點……

現在讓我們倒退，把畫面定格在登錄頁面，當我的鼠標點擊登錄按鈕后，都發生了什么。

發生的事情是，瀏覽器把我輸入的信息發送給了淘寶的服務器，來確定我是否輸入了正確的賬號密碼，如果驗證通過，服務器會發送一個憑證給瀏覽器，瀏覽器把它存起來，以后每次需要向服務器取數據都要帶上這個憑證，這就像是人的身份證一樣。

好了，下面開始說點實在的。通常服務器返回的那個東西叫做sessionId，瀏覽器會把它存在cookie里，同時服務器上保存了我們的登錄狀態，但是需要sessionId這把鑰匙才能獲取。這樣做的好處是，信息都存在服務器端，服務器可以掌控一切，比如它可以突然讓我們強制退出登錄。但缺點也是顯而易見，服務器端的壓力會增大，因為要使用很多內存來存儲用戶的登錄狀態。于此相對應的，還有一種方法是，把用戶的登錄狀態存儲在瀏覽器端，用數字簽名的方式保證數據不被篡改，這時瀏覽器存儲的就不是簡單的sessionid了，而是具體的用戶登錄狀態，比如用戶的id。此時，服務器端只要驗證瀏覽器傳過來的憑證是否有效就可以了，它自己則不再存儲用戶的登錄狀態。到這，今天的主角就該出場了，它就是JWT，也就是存在瀏覽器中的那個東西，讓我們看看它究竟長啥樣。

PART01

什么是JWT

JWT是JSON Web Token的簡稱，它是一種互聯網開放標準。它被設計用來在兩方之間傳輸聲明（claims），在我們日常應用中，就是在服務器和客戶端之間傳遞認證信息，也就是我們常說的token。在設計中，它被要求是結構緊湊，URL安全的，所以可以放在URL、請求頭和body中。通常的做法是放在請求頭的Authorization中，這也是很多第三方庫采用的做法。JWT既可以是加密的也可以是不加密的，如果不加密的話，請不要放敏感信息。

PART 02

什么是JWS

簡單來說，JWT加簽名就變成了JWS（JSON Web Signature），所以我們通常用的有簽名的JWT其實準確的叫法是JWS。這里之所以提到JWS，是為了下面所涉及到的概念，通常我們不用深入了解，想要深入了解請參考RFC7515。

PART 03

Payload

JWT的結構概括來說可以分成3部分，中間用（.）連接：

HeaderPayloadSignature

所以一個典型的jwt類似xxxxxx.yyyyyy.zzzzzz

Header

JWT的header是一個json對象，通常是下面這個樣子：

{

"typ":"JWT",

"alg":"HS256"

}

typ屬性表示這個令牌的類型，如果是JWT令牌，這個值是JWT。alg屬性表示后面會用到的簽名的算法，HS256表示HMAC SHA256。

一般情況下，有這兩個屬性就夠了，但其實還可以有其它屬性。實際上這兩個屬性是定義在JWS的header中的，JWT只是拿過來用。所以想知道header里還有哪些屬性，請查看JWS的header屬性，除此之外，payload中的屬性也可以放到header中，特殊情況下有用。最后要把這個json使用base64url加密后，才能放到JWT中，作為JWT的第一部分。

Payload

JWT的payload部分也是一個json對象，JWT規定了7個字段供選用，分別是：

iss（Issuer）：簽發人exp（Expiration Time）：過期時間sub（Subject）：主題aud（Audience）：受眾nbf（Not Before）：生效時間iat（Issued At）：簽發時間jti（JWT ID）：編號

以上這些屬性都是可選的，除了這些，我們還可以自定義一些屬性。下面是一個padyload的例子：

{

"iss":"http://localhost",

"iat":1661503024,

"exp":1661506624,

"nbf":1661503024,

"jti":"jloZNwoyTlIW3OE2",

"sub":1,

"prv":"23bd5c8949f600adb39e701c400872db7a5976f7"

}

和header一樣，最后用base64url加密后放到JWT的第二部分。

需要注意的是，如果加了簽名，那么這部分信息確實無法被更改了，但是依然可以被任何人看到，所以敏感信息不要放到paylaod中，加密過的信息除外。

Signature

Signature是對前面2部分的簽名，目的是防止數據被篡改。首先我們需要一個密鑰，這個密鑰放在服務器端，然后使用Header里指定的算法（通常是HS256），按照下面的規則生成簽名：

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

把這個簽名也用base64url加密，然后放到JWT的第三部分，一個完整的JWT就生成了。

PART 04

base64Url

由于JWT有可能被放到url中，所以這里對Header和Payload的加密不是普通的base64算法，而是在此基礎上做了一些修改。首先依然是用普通的base64算法對字符串加密，然后把加密的字符串中的"+"替換成"-"，"/"替換成"_"，最后去掉字符串中的"="。

PART 05

JWT的結構

1. JWT是無狀態的，所以服務器不會保存用戶的登錄信息，這可以減輕服務器端的壓力

2. 用戶先在設備A進行登錄，后又在設備B進行登錄，此時A設備的登錄狀態不會退出。

3. JWT一旦簽發，除非過期或者更換了密鑰，否者一直有效，正因如此，JWT的過期時間最好不要太長。

以上，JWT的重點內容都在這里了，雖然不多但是要理解其中任何一個細節都不是容易的事，如果你覺得我講得還不錯，就給我點個贊吧。最后祝所有看完這篇文章的朋友都能實現自己的理想，事業有成，家庭幸福。

本文所有文字版權均屬“寶略科技”，更多內容請搜索關注【寶略科技】微信公眾號~

拓展知識：

凡科網站登錄

你最好別用凡科網了，雖然是免費的，但免費版從一開始上傳圖片就開始記錄，到系統滿了不能再弄圖片的時候，即使刪了一些圖片，但還是不能再弄產品圖片了，老是顯示產品數量超過版本限制，他**真垃圾，干脆刪了整整一半的圖片，也不行……而且還要求每月至少登一次，忘了的時候，時間一到，網站就又被收回去了，搞得現在很麻煩。
何不如去“**萬網”自己弄個網站，去他們公司的凡科網建站，目的是要有更多流量，讓每個人注冊他們的，只要你登你自己網站，但因為相帶性，（你有流量就等于他們有流量），這凡科網太垃圾了，大家別用他們的，不信，你自己去**萬網弄個，他們就不會這樣，自己弄個網站，（比在凡科網注冊網站便宜多呢）萬網他們有優惠性，注冊10年才544元
你想想，還是自己去萬網弄個網站吧，凡科網是坑人的，他們是有跟**萬網之類的公司合作連起來的，就相當于他們去公司總部拿貨，然后再賣給像你們這樣的零售戶，所以才貴得多，**萬網成立于1996年，是**領先的互聯網應用服務提供商。全**的互聯網，**萬網是最早
先成立的公司

凡科網站登錄

您好，登錄賬號以后，可以添加如產品展示、圖文展示等模塊，里面均有上傳圖片的功能，并且可以給圖片添加鏈接等。