什麼是 JWT？

JWT （JSON Web Token）是一種自包含的、無狀態的令牌，它以結構化和可讀的格式攜帶信息。無論你是在保護 API 或採用基於令牌的身份驗證，JWT 都是一個強大的工具，因為它們：

• 無狀態: JWT 是自包含的，不需要服務器端狀態來驗證。JWT 可以透過簽名來確保數據的完整性。
• 跨服務兼容性: JWT 可以輕鬆地在不同的服務之間共享和驗證。
• 可擴展性: JWT 的有效載荷可以包含自定義聲明，允許靈活的授權和資訊共享。

JWT 的結構

一個典型的 JWT 被分為三部分，每部分都以 Base64URL 編碼，並且以句點（.）分隔：

• 標頭 - 包含元數據，例如簽名算法（例如，HS256 或 RS256）和令牌的類型（JWT）。
• 有效載荷 - 包含實際資料，例如用戶 ID、用戶配置文件、過期時間或範圍。
• 簽名 - 標頭、有效載荷的哈希組合，並使用秘密密鑰進行保護。其目的是確保令牌的完整性，並確認它未被更改

此結構使得 JWT 可以在各方之間提供一種緊湊、可靠的資料傳輸方式。

JWT 中常見的令牌聲明

聲明是有效載荷的一部分，包含關鍵資訊。以下是供你參考的標準化註冊聲明：

根據授權伺服器的規範和配置，可能會在有效載荷中包含其他聲明，以支持特定的用例。你也可以向 JWT 添加自定義聲明，以滿足獨特的業務需求。

什麼時候使用 JWT？

在以下場景中，JWT 特別有用：

1. 微服務架構: 在多個服務之間進行無狀態身份驗證。
2. 單點登錄（SSO）系統: 允許使用一次身份驗證訪問多個應用程序。
3. 移動應用程序: 高效地維持跨 API 調用的用戶會話。
4. 高流量應用程序: 減少高流量環境中的數據庫負載。
5. 跨源資源共享（CORS）: 簡化跨多個域的身份驗證。
6. 無伺服器架構: 在伺服器端會話困難的情況下，提供無狀態身份驗證。