jwt能存多少數據

1. jwt單點登錄原理

​剛才突然想明白了單點登錄的token為什麼不需要針對每個用戶都存一個session。
伺服器這邊准備一個密碼字元串，各伺服器保持字元串一樣。
當用戶登錄一台伺服器成功後，伺服器將他的賬號和密碼字元串通過演算法整合一下，形成一個新的字元串。通常這個演算法會將密碼字元串用哈希的方式來處理(即在新的字元串中不知道這個密碼是多少)，但賬號可以直接在新的字元串中拿到。
這樣，伺服器將這個新的字元串給用戶(即保存在cookie中，或保存在storage中)。用戶每次訪問，都會帶上這個字元串(類似jsessionid)。
伺服器這邊拿到用戶帶來的字元串，從中取出賬號，將賬號和伺服器這邊存的密碼用相同演算法整合，形成新的字元串，用這個字元串和用戶帶來的字元串比對，看是否相同，相同，即通過，不同，讓用戶去登錄。

2. jwt需要存redis嗎

JWT是JSON WEB TOKEN的縮寫，它是基於 RFC 7519 標準定義的一種可以安全傳輸的的JSON對象，由於使用了數字簽名，所以是可信任和安全的。

JWT的組成

• JWT token的格式：header.payload.signature

• header中用於存放簽名的生成演算法

  {"alg": "HS512"}Copy to clipboardErrorCopied
  

• payload中用於存放用戶名、token的生成時間和過期時間

  {"sub":"admin","created":1489079981393,"exp":1489684781}Copy to clipboardErrorCopied
  

• signature為以header和payload生成的簽名，一旦header和payload被篡改，驗證將失敗

  //secret為加密演算法的密鑰 String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
  

3. jwt作為取代session-cookie機制的替代，實際運用會存在什麼問題

為什麼要使用jwt，讓網路數據更加安全，以防其他一些人無意惡搞
降低了session驗證的性能消耗。
JWT是 Auth0 提出的通過對JSON進行加密簽名來實現授權驗證的方案，編碼之後的JWT看起來是這樣的一串字元：
..
由.分為三段，通過解碼可以得到：
// 1. Headers
// 包括類別（typ）、加密演算法（alg）；
{
"alg": "HS256",
"typ": "JWT"
}
// 2. Claims
// 包括需要傳遞的用戶信息；
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
// 3. Signature
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
SECREATE_KEY
)
在使用過程中，服務端通過用戶登錄驗證之後，將Header+Claim信息加密後得到第三段簽名，然後將簽名返回給客戶端，在後續請求中，服務端只需要對用戶請求中包含的JWT進行解碼，即可驗證是否可以授權用戶獲取相應信息.
使用JWT可以省去服務端讀取Session的步驟，這樣更符合RESTful的規范。但是對於客戶端（或App端）來說，為 了保存用戶授權信息，仍然需要通過Cookie或類似的機制進行本地保存。因此JWT是用來取代服務端的Session而非客戶端Cookie的方案，當 然對於客戶端本地存儲，HTML5提供了Cookie之外更多的解決方案（localStorage/sessionStorage），究竟採用哪種存儲 方式，其實從Js操作上來看沒有本質上的差異，不同的選擇更多是出於安全性的考慮。

4. 請教JWT 的 Token 本地儲存和前端請求問題

token可以存localStorage裡面，至於你說的前端請求問題完全不知道是什麼意思。

5. jwt的token怎麼生存的

引入依賴包加密解密方法。
在生產環境中，一般jwt會保存用戶的名字和角色許可權等信息。可以將token寫到cookie里，每次前端訪問後台時，可以在攔截器或者過濾器取到token，然後解密，先判斷是否過期，過期就拋異常阻止其訪問。然後取出信息保存到threadLocal里，方便以後調用這些信息，當後台訪問完成後，從thredLocal刪除此用戶信息。
伺服器認證以後，生成一個JSON格式的對象返回給客戶端。之後客戶端與服務端通信的時候，都要發回這個JSON對象。伺服器完全根據這個對象認證用戶身份。

6. jwt中為啥用refresh_token去刷新access_token,直接把access_token的有效期設置長一點不行嗎

access_token使用頻率高，容易泄露，有效期風險就小。refresh_token使用頻率低，泄露風險小。另外，不是必須要有兩個token吧？

7. jwt兩個主題、唯一編號不同生成相同的token

摘要 Json web token (JWT), 是為了在網路應用環境間傳遞聲明而執行的一種基於JSON的開放標准（(RFC 7519).定義了一種簡潔的，自包含的方法用於通信雙方之間以JSON對象的形式安全的傳遞信息。因為數字簽名的存在，這些信息是可信的，JWT可以使用HMAC演算法或者是RSA的公私秘鑰對進行簽名。

8. 如何解析jwt token to json

collection.find().toArray(function(err,docs){
console.log(docs);
//將數據顯示到網頁上
// console.log('1'+docs[0].name);
// $('#question').append('<div>'+docs+'</div>');
// document.getElementById("editLevels").value =docs;

9. jwt原理是什麼

GWT單點登錄原理這是一個技術原始問題，伺服器這邊准備一個密碼字元串，各伺服器保持字元串一樣。

當用戶登錄一台伺服器成功後，伺服器將他的賬號和密碼字元串通過演算法整合一下，形成一個新的字元串。通常這個演算法會將密碼字元串用哈希的方式來處理，但賬號可以直接在新的字元串中拿到。

這樣，伺服器將這個新的字元串給用戶(即保存在cookie中，或保存在storage中)。用戶每次訪問，都會帶上這個字元串(類似jsessionid)。伺服器這邊拿到用戶帶來的字元串，從中取出賬號，將賬號和伺服器這邊存。

字元串

在存儲上類似字元數組，它每一位單個元素都是能提取的，字元串的零位是它的長度，如s[0]=10，這提供給我們很多方便，例如高精度運算時每一位都能轉化為數字存入數組。

通常以串的整體作為操作對象，如：在串中查找某個子串、求取一個子串、在串的某個位置上插入一個子串以及刪除一個子串等。

兩個字元串相等的充要條件是：長度相等，並且各個對應位置上的字元都相等。設p、q是兩個串，求q在p中首次出現的位置的運算叫做模式匹配。串的兩種最基本的存儲方式是順序存儲方式和鏈接存儲方式。

10. 電腦顯示系統驗證JWT出錯,請求非法,jwt解密失敗

一般情況下，編碼解碼是為了方便以位元組的方式表示數據，便於存儲和網路傳輸。
整個jwt串會被置於http的Header或者url中，為了不出現亂碼解析錯誤等意外，編碼是有必要的。
在jwt中以.分割的三個部分都經過base64編碼(secret部分是否進行base64編碼是可選的，header和payload則是必須進行base64編碼)。
注意，編碼的一個特點：編碼和解碼的整個過程是可逆的。得知編碼方式後，整個jwt串便是明文了payload是一定不能夠攜帶敏感數據如密碼等信息的。