jwt能存多少数据

1. jwt单点登录原理

​刚才突然想明白了单点登录的token为什么不需要针对每个用户都存一个session。
服务器这边准备一个密码字符串，各服务器保持字符串一样。
当用户登录一台服务器成功后，服务器将他的账号和密码字符串通过算法整合一下，形成一个新的字符串。通常这个算法会将密码字符串用哈希的方式来处理(即在新的字符串中不知道这个密码是多少)，但账号可以直接在新的字符串中拿到。
这样，服务器将这个新的字符串给用户(即保存在cookie中，或保存在storage中)。用户每次访问，都会带上这个字符串(类似jsessionid)。
服务器这边拿到用户带来的字符串，从中取出账号，将账号和服务器这边存的密码用相同算法整合，形成新的字符串，用这个字符串和用户带来的字符串比对，看是否相同，相同，即通过，不同，让用户去登录。

2. jwt需要存redis吗

JWT是JSON WEB TOKEN的缩写，它是基于 RFC 7519 标准定义的一种可以安全传输的的JSON对象，由于使用了数字签名，所以是可信任和安全的。

JWT的组成

• JWT token的格式：header.payload.signature

• header中用于存放签名的生成算法

  {"alg": "HS512"}Copy to clipboardErrorCopied
  

• payload中用于存放用户名、token的生成时间和过期时间

  {"sub":"admin","created":1489079981393,"exp":1489684781}Copy to clipboardErrorCopied
  

• signature为以header和payload生成的签名，一旦header和payload被篡改，验证将失败

  //secret为加密算法的密钥 String signature = HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
  

3. jwt作为取代session-cookie机制的替代，实际运用会存在什么问题

为什么要使用jwt，让网络数据更加安全，以防其他一些人无意恶搞
降低了session验证的性能消耗。
JWT是 Auth0 提出的通过对JSON进行加密签名来实现授权验证的方案，编码之后的JWT看起来是这样的一串字符：
..
由.分为三段，通过解码可以得到：
// 1. Headers
// 包括类别（typ）、加密算法（alg）；
{
"alg": "HS256",
"typ": "JWT"
}
// 2. Claims
// 包括需要传递的用户信息；
{
"sub": "1234567890",
"name": "John Doe",
"admin": true
}
// 3. Signature
HMACSHA256(
base64UrlEncode(header) + "." +
base64UrlEncode(payload),
SECREATE_KEY
)
在使用过程中，服务端通过用户登录验证之后，将Header+Claim信息加密后得到第三段签名，然后将签名返回给客户端，在后续请求中，服务端只需要对用户请求中包含的JWT进行解码，即可验证是否可以授权用户获取相应信息.
使用JWT可以省去服务端读取Session的步骤，这样更符合RESTful的规范。但是对于客户端（或App端）来说，为 了保存用户授权信息，仍然需要通过Cookie或类似的机制进行本地保存。因此JWT是用来取代服务端的Session而非客户端Cookie的方案，当 然对于客户端本地存储，HTML5提供了Cookie之外更多的解决方案（localStorage/sessionStorage），究竟采用哪种存储 方式，其实从Js操作上来看没有本质上的差异，不同的选择更多是出于安全性的考虑。

4. 请教JWT 的 Token 本地储存和前端请求问题

token可以存localStorage里面，至于你说的前端请求问题完全不知道是什么意思。

5. jwt的token怎么生存的

引入依赖包加密解密方法。
在生产环境中，一般jwt会保存用户的名字和角色权限等信息。可以将token写到cookie里，每次前端访问后台时，可以在拦截器或者过滤器取到token，然后解密，先判断是否过期，过期就抛异常阻止其访问。然后取出信息保存到threadLocal里，方便以后调用这些信息，当后台访问完成后，从thredLocal删除此用户信息。
服务器认证以后，生成一个JSON格式的对象返回给客户端。之后客户端与服务端通信的时候，都要发回这个JSON对象。服务器完全根据这个对象认证用户身份。

6. jwt中为啥用refresh_token去刷新access_token,直接把access_token的有效期设置长一点不行吗

access_token使用频率高，容易泄露，有效期风险就小。refresh_token使用频率低，泄露风险小。另外，不是必须要有两个token吧？

7. jwt两个主题、唯一编号不同生成相同的token

摘要 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).定义了一种简洁的，自包含的方法用于通信双方之间以JSON对象的形式安全的传递信息。因为数字签名的存在，这些信息是可信的，JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。

8. 如何解析jwt token to json

collection.find().toArray(function(err,docs){
console.log(docs);
//将数据显示到网页上
// console.log('1'+docs[0].name);
// $('#question').append('<div>'+docs+'</div>');
// document.getElementById("editLevels").value =docs;

9. jwt原理是什么

GWT单点登录原理这是一个技术原始问题，服务器这边准备一个密码字符串，各服务器保持字符串一样。

当用户登录一台服务器成功后，服务器将他的账号和密码字符串通过算法整合一下，形成一个新的字符串。通常这个算法会将密码字符串用哈希的方式来处理，但账号可以直接在新的字符串中拿到。

这样，服务器将这个新的字符串给用户(即保存在cookie中，或保存在storage中)。用户每次访问，都会带上这个字符串(类似jsessionid)。服务器这边拿到用户带来的字符串，从中取出账号，将账号和服务器这边存。

字符串

在存储上类似字符数组，它每一位单个元素都是能提取的，字符串的零位是它的长度，如s[0]=10，这提供给我们很多方便，例如高精度运算时每一位都能转化为数字存入数组。

通常以串的整体作为操作对象，如：在串中查找某个子串、求取一个子串、在串的某个位置上插入一个子串以及删除一个子串等。

两个字符串相等的充要条件是：长度相等，并且各个对应位置上的字符都相等。设p、q是两个串，求q在p中首次出现的位置的运算叫做模式匹配。串的两种最基本的存储方式是顺序存储方式和链接存储方式。

10. 电脑显示系统验证JWT出错,请求非法,jwt解密失败

一般情况下，编码解码是为了方便以字节的方式表示数据，便于存储和网络传输。
整个jwt串会被置于http的Header或者url中，为了不出现乱码解析错误等意外，编码是有必要的。
在jwt中以.分割的三个部分都经过base64编码(secret部分是否进行base64编码是可选的，header和payload则是必须进行base64编码)。
注意，编码的一个特点：编码和解码的整个过程是可逆的。得知编码方式后，整个jwt串便是明文了payload是一定不能够携带敏感数据如密码等信息的。