RFC 7519 - JSON Web Token (JWT)

发布日期: 2015年5月
状态: 标准跟踪协议 (Standards Track)
作者: M. Jones (Microsoft), J. Bradley (Ping Identity), N. Sakimura (NRI)

---

摘要 (Abstract)

JSON Web Token (JWT) 是一种紧凑的、URL安全的方式，用于表示在双方之间传输的声明 (Claims)。JWT中的声明被编码为JSON对象，该对象用作JSON Web Signature (JWS) 结构的有效载荷，或用作JSON Web Encryption (JWE) 结构的明文，从而使声明能够被数字签名或使用消息认证码 (MAC) 进行完整性保护，以及/或被加密。

---

本文档状态 (Status of This Memo)

这是一份互联网标准跟踪文档。

本文档是互联网工程任务组 (IETF) 的产品。它代表了IETF社区的共识。它已经过公开审查，并已被互联网工程指导组 (IESG) 批准发布。有关互联网标准的更多信息可在RFC 5741的第2节中找到。

有关本文档当前状态、勘误表以及如何提供反馈的信息可在 http://www.rfc-editor.org/info/rfc7519 获取。

---

目录 (Table of Contents)

• 1. Introduction (简介)
  • 1.1. Notational Conventions (符号约定)
• 2. Terminology (术语)
• 3. JSON Web Token (JWT) Overview (JWT概述)
  • 3.1. Example JWT (JWT示例)
• 4. JWT Claims (JWT声明)
  • 4.1. Registered Claim Names (注册声明名称)
  • 4.2. Public Claim Names (公开声明名称)
  • 4.3. Private Claim Names (私有声明名称)
• 5. JOSE Header (JOSE头部)
  • 5.1. "typ" (Type) Header Parameter (类型头部参数)
  • 5.2. "cty" (Content Type) Header Parameter (内容类型头部参数)
  • 5.3. Replicating Claims as Header Parameters (将声明复制为头部参数)
• 6. Unsecured JWTs (无保护的JWT)
  • 6.1. Example Unsecured JWT (无保护JWT示例)
• 7. Creating and Validating JWTs (创建和验证JWT)
  • 7.1. Creating a JWT (创建JWT)
  • 7.2. Validating a JWT (验证JWT)
  • 7.3. String Comparison Rules (字符串比较规则)
• 8. Implementation Requirements (实现要求)
• 9. URI for Declaring that Content is a JWT (声明内容为JWT的URI)
• 10. IANA Considerations (IANA考虑事项)
  • 10.1. JSON Web Token Claims Registry (JWT声明注册表)
  • 10.2. Sub-Namespace Registration (子命名空间注册)
  • 10.3. Media Type Registration (媒体类型注册)
  • 10.4. Header Parameter Names Registration (头部参数名称注册)
• 11. Security Considerations (安全考虑)
  • 11.1. Trust Decisions (信任决策)
  • 11.2. Signing and Encryption Order (签名和加密顺序)
• 12. Privacy Considerations (隐私考虑)
• 13. References (参考文献)
  • 13.1. Normative References (规范性参考文献)
  • 13.2. Informative References (信息性参考文献)

附录 (Appendices)

• Appendix A. JWT Examples (JWT示例)
  • A.1. Example Encrypted JWT (加密JWT示例)
  • A.2. Example Nested JWT (嵌套JWT示例)
• Appendix B. Relationship of JWTs to SAML Assertions (JWT与SAML断言的关系)
• Appendix C. Relationship of JWTs to Simple Web Tokens (JWT与简单Web令牌的关系)

---

相关资源

• 官方原文: RFC 7519
• 官方页面: RFC 7519 DataTracker
• 勘误表: RFC Editor Errata

---

致谢 (Acknowledgements)

本规范基于JSON Web Token (JWT) 和Simple Web Token (SWT) 的早期工作。感谢所有为本标准做出贡献的工作组成员。

---

版权声明 (Copyright Notice)

Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.

本文档受BCP 78和IETF Trust关于IETF文档的法律规定 (http://trustee.ietf.org/license-info) 的约束，这些规定在本文档发布之日有效。请仔细阅读这些文档，因为它们描述了您对本文档的权利和限制。从本文档中提取的代码组件必须包括简化BSD许可证文本（如Trust Legal Provisions第4.e节所述），并按照简化BSD许可证中的描述提供，不提供任何担保。