jwt token为什么要在返回前面添加Bearer这个单词？

首先，我们知道，jwt生成的token形如aaa.bbb.ccc的字符串，但是为什么我们通常传输的是Bearer aaa.bbb.ccc呢，还要多次一举地添加上一个Bearer呢？

其实，这是一种规范。

规范解释

w3c规定，请求头Authorization用于验证用户身份。这就是告诉我们，token应该写在请求头Authorization中（当然你非要写在cookie，body或者写在url参数中也行，只要前后端开发约定好就行，但不建议）。那么互联网发展至今，认证方式也有很多种，所以w3c还规定，Authorization应当写成这样的形式Authorization: ，type是指认证的方式，credentials则是认证需要的信息。所以才有了jwt token的标准写法Authorization: Bearer aaa.bbb.ccc。

举个例子加深理解

再举个例子加深理解，比如，一个人想进一扇门，那他首先需要开门（访问服务器资源首先要认证身份），但是开门的方式有很多种，可能是机械锁，也可能是密码锁。如果这个人想进这扇门，那么他需要两个信息，一是开门的方式type，二是开门的具体信息credentials。

• 所以他应当得到以下信息：机械锁 钥匙藏在门垫下，通过这个信息，这个人就知道，只需要掀开门垫拿到钥匙就能进门。
• 而如果他得到的信息是：密码锁 钥匙藏在门垫下，由于有type的存在，这个人并不会认为在门垫下会有一把钥匙，而是知道输入“钥匙藏在门垫下”这个字符串，就能打开门。

通过这里例子，我们可以知道，type的作用，就是告诉服务器如何去认证访问者的身份。如果服务器事先就已经知道了认证方式，那么有无Bearer都不影响认证结果。

是否有必要加上Bearer

那么加Bearer是否有还有必要，答案是有必要，因为Bearer不是给人看的，是给框架看的，有了规范才有框架。假设让你去开发一个自动认证的框架，这个框架要求能支持多种认证方式（认证方式除了Bearer之外，还有Basic，Basic就是指，把用户名和密码用冒号拼接起来，再用base64编码，形如base64(username:password)），你会怎么做？

那么一个可行的方案就是，自动从请求头中获取Authorization的值，然后用空格截取开头的字符串得到认证的方式type，然后再去调用对应的认证方法，比如authByBearer()或者authByBasic()。事实上，很多认证框架就是这么干的！

后话

很多规范的提出，都是为了方便编码，我们应当按照规范编写代码（即使不按照规范也能完成功能，也不该那么做）。因为规范，大概率是因为前人遇到了问题才提出的解决方案，从而演变来的。我们后人最初可能感到不解，但是随着知识面的加深，总会慢慢理解其中的奥妙。