什么是 JWT？

JWT（JSON Web Token）是一种自包含且无状态的令牌，以结构化和可读的格式携带信息。无论你是保护 API 还是为应用程序采纳基于令牌的身份验证，JWTs 都是一个强大的工具，因为它们：

• 无状态: JWTs 是自包含的，不需要服务端状态来验证。JWT 可以通过签名确保数据完整性。
• 跨服务兼容: JWTs 可以在不同服务之间轻松共享和验证。
• 可扩展: JWT 的有效载荷可以包含自定义声明，允许灵活的授权和信息共享。

JWT 的结构

一个典型的 JWT 被分成三部分，每部分都使用 Base64URL 编码并用点（.）分隔：

• 头部 - 包含元数据，如签名算法（例如，HS256 或 RS256）和令牌的类型（JWT）。
• 有效载荷 - 包含实际数据，如用户 ID、用户资料、到期时间或作用域。
• 签名 - 头部、有效载荷的哈希组合，并使用密钥进行安全保护。其目的是确保令牌的完整性和确认未被篡改。

这种结构使 JWT 可以在各方之间提供一种紧凑、安全的信息传输方式。

JWT 中的常见令牌声明

声明是有效载荷的一部分，持有关键信息。以下是标准化的注册声明供参考：

根据规范和授权服务器的配置，可能在负载中包含其他声明以支持特定的使用场景。你还可以向 JWT 添加自定义声明以满足独特的业务需求。

什么时候使用 JWT？

JWT 在以下场景中特别有帮助：

1. 微服务架构: 用于多个服务之间无状态的身份验证。
2. 单点登录 (SSO) 系统: 通过一次身份验证访问多个应用程序。
3. 移动应用程序: 高效维护 API 调用中用户会话。
4. 高流量应用程序: 在高容量环境中降低数据库负载。
5. 跨域资源共享 (CORS): 简化多个域之间的身份验证。
6. 无服务器架构: 提供无状态身份验证，但服务端会话具有挑战性。