JWT（Json Web Token）原理

JWT是json web token缩写

它将用户信息加密到token里，服务器不保存任何用户信息；服务器通过使用保存的密钥验证token的正确性，只要正确即通过验证；基于token的身份验证可以替代传统的cookie、session身份验证方法。

JWT优点：

1. 服务端不需要保存传统会话信息，没有跨域传输问题，减小服务器开销
2. jwt构成简单，占用很少的字节，便于传输
3. json格式通用，不同语言之间都可以使用

JWT由三部分组成：

1. 头部（header）alg字段指定了生成signature的算法，默认值为HS256，typ默认值为JWT：

{
"alg": "HS256",
  "typ": "JWT"
}

2. 载荷（payload）包含一些定义信息和自定义信息（sub 面向的用户，name 姓名 ,iat 签发时间）：

{
  "sub": "abcdefg",
  "name": "wuji",
  "iat": 17520496732
}

3. 签证（signature）对header和payload进行base64UrlEncode编码后进行拼接。通过key（这里是345678）进行HS256算法签名：

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  345678
) 

用户登录鉴权流程：

1. 初次登录：用户使用用户名密码来请求服务器
2. 密码验证：服务器从数据库取出用户名和密码进行验证
3. 生成与返还JWT：服务器通过验证，根据从数据库返回的信息，以及预设规则，生成JWT，发送给用户一个token
4. 带JWT的请求：客户端存储token，并在每次请求时附送上这个令牌值
5. 服务端验证token，并返回数据

流程：

1. 提交登录表单，发送用户名和密码到后端
2. 初始化验证成功后，会发送一个令牌给前端
3. 前端再拿这个令牌去请求需要用户权限访问
4. 后端验证token，鉴权，返回相应数据（结果）