什么是 JWT

• JSON Web Token（简称JWT）是目前最流行的跨域认证方案。
• 是一种身份验证和授权机制。
• JWT 是一种基于 JSON 的开放标准 (RFC 7519)，用于在 Web 应用程序环境之间传递声明。 JWT 声明通常用于在身份提供者和服务提供者之间传递经过身份验证的用户身份信息，以便从资源服务器获取资源。 例如，它用于用户登录。
• JWT 可以使用 HMAC 算法或 RSA 公钥/私钥进行签名。 由于数字签名的存在，这些传输的信息是可信的。

• JWT 认证流程：

• • 用户输入用户名/密码登录，服务器认证成功后，会返回一个JWT给客户端
  • 客户端将token保存在本地（通常使用localstorage，也可以使用cookies）
• • 当用户想要访问受保护的路由或资源时，需要使用 Bearer 模式在请求头的 Authorization 字段中添加 JWT。 内容如下所示

Authorization: Bearer <token>

• 服务端保护路由会检查请求头Authorization中的JWT信息，如果合法则允许用户的行为
• 因为JWT是自包含的（里面有一些会话信息），减少了查询数据库的需要
• 因为JWT不使用cookies，你可以使用任何域名来提供你的API服务，而不用担心跨域资源共享（CORS）
• 这是一种无状态的认证机制，因为用户的状态不再存储在服务器的内存中

JWT 的使用方式

● 客户端收到服务器返回的 JWT，可以储存在 Cookie 里面，也可以储存在 localStorage。

方式一

● 当用户希望访问一个受保护的路由或者资源的时候，可以把它放在 Cookie 里面自动发送，但是这样不能跨域，所以更好的做法是放在 HTTP 请求头信息的 Authorization 字段里，使用 Bearer 模式添加 JWT。

GET /calendar/v1/events
Host: api.example.com
Authorization: Bearer <token>

○ 用户的状态不会存储在服务端的内存中，这是一种 无状态的认证机制
○ 服务端的保护路由将会检查请求头 Authorization 中的 JWT 信息，如果合法，则允许用户的行为。
○ 由于 JWT 是自包含的，因此减少了需要查询数据库的需要
○ JWT 的这些特性使得我们可以完全依赖其无状态的特性提供数据 API 服务，甚至是创建一个下载流服务。
○ 因为 JWT 并不使用 Cookie ，所以你可以使用任何域名提供你的 API 服务而不需要担心跨域资源共享问题（CORS）

Token 和 JWT 的区别

相同

• 都是访问资源的令牌
• 都可以记录用户的信息
• 都是使服务端无状态化
• 都是只有验证成功后，客户端才能访问服务端上受保护的资源

区别：

• Token：服务端验证客户端发送过来的 Token 时，还需要查询数据库获取用户信息，然后验证 Token 是否有效。
• JWT： 将 Token 和 Payload 加密后存储于客户端，服务端只需要使用密钥解密进行校验（校验也是 JWT 自己实现的）即可，不需要查询或者减少查询数据库，因为 JWT 自包含了用户信息和加密的数据。

参考: https://www.yuque.com/pig4cloud/pig/egcx5x