備註：

• RFC：記錄網際網路規範、協定、過程等的標準檔案。

• 簡潔(compact)：體積非常的小，可放在 URL 、 POST 參數或 HTTP Header 內發送請求，體積小意味著傳輸速度快。

• 自包含(self-contained)：payload 裡面就有所需要的資訊，不需要再重新 query database 的資料。

• 數位簽章(Digital Signature)：

• 演算法：HMAC、RSA、ECDSA

JWT 的組成

1. header

2. payload

3. signature、encryption data

前兩個元素 header 和 payload 是特定結構的 JSON 物件，第三個部分取決於演算法是用來作簽章還是加密，如果是未加密的 JWT，則將其省略。JWT 可以被編碼成 JWS/JWE 簡潔的表現形式(Compact Serialization)。

Header

• 必要欄位
• alg：對此 JWT 進行簽章和(或)解密的主要演算法。對於未加密的 JWT，此聲明必須設置為 none。

• 非必要欄位
• typ：JWT 本身的媒體類型。此參數僅助於將 JWT 與帶有 JOSE header 的其他對象混合使用的情況。實際上，這種情況很少發生。如果存在，則此聲明應設置為值 JWT。
• cty：內容類型。大多數 JWT 攜帶特定的聲明以及任意數據作為其 payload 的一部分，在這種情況下，不得設置內容類型聲明。

Payload

• iss：issuer 的簡稱，用字串(case-sensitive) 或 URI 表示這個 JWT 的唯一識別的發行方。

• sub：subject 的簡稱，用字串(case-sensitive) 或 URI 表示這個 JWT 所夾帶的唯一識別訊息。

• aud：audience 的簡稱，用單字串(case-sensitive) 或 URI 或陣列表示這個 JWT 唯一識別的預期接收者。換句話說，當此聲明存在，則讀取此 JWT 中的數據的一方必須在 aud 中找到自己，或者無視 JWT 中包含的數據。與 iss 和 sub 要求的情況一樣，該權利要求是專用的。

• exp：expiration(time) 的簡稱，一個用來表示特定日期和時間的數字，格式為 POSIX 定義的 自紀元以來的秒數，即 UNIX時間。此聲明設置了該 JWT 被視為無效的確切時間。一些實踐可能允許時間存在一定的偏差(考慮此 JWT 在到期日期後的幾分鐘內有效)。

• nbf：not before (time) 的簡稱，exp 的相反，格式同 exp，當前時間和日期必須等於或晚於該日期和時間。一些實踐可能允許一定的偏差。

• iat：issued at (time) 的簡稱，一個用來表示特定日期和時間的數字(格式同 exp 和 nbf)，即該 JWT 發行的時間。

• jti：JWT ID 的簡稱，一個字串表示這個唯一識別的 JWT。此聲明可用於區分具有其他相似內容的 JWT (例如，防止重放)。取決於實現以確保唯一性。

JSON Web Signatures(JWS)

JWS 的組成