JWT(JSON Web Token)理解与应用

什么是JWT token？

根据官网的定义，JSON Web Token（以下简称 JWT）是一套开放的标准（RFC 7519），它定义了一套简洁（compact）且 URL 安全（URL-safe）的方案，以安全地在客户端和服务器之间传输 JSON 格式的信息。通俗来讲就是一个客户端与服务端交互的凭据。其实可以理解为一种生成token的框架或规范。

为什么使用JWT,为什么使用token认证：

常见的服务端认证方法有基于 Cookie 的认证，如 session-cookie；以及 Token （令牌）认证，如 JWT。前者依赖于 cookie 而实现，在每次请求时都需要带上 cookie ，取出相应字段并与服务器端的进行对比，以实现身份的认证。而后者仅仅需要在 HTTP 的头部（header）附上 token，由服务器 check signature 即可实现，无须担心 cookie 存在的 CORS （跨域，即服务不会部署在同一台服务器上，而一个session是不能共享到其他服务器的）问题。网上有许多文章来比较token和session的优缺点,其实哪种都行，但如果是开发api接口，前后端分离，最好使用token，为什么这么说呢，因为session+cookies是基于web的。但是针对 api接口，可能会考虑到移动端，app是没有cookies和session的。

如何实现token，JWT token的组成&#x