什麼是 JWT？

JWT（JSON Web Token）是一種自我包含的無狀態令牌，以結構化且可讀的格式攜帶信息。無論你是在保護 API 還是採用應用程序的基於令牌的身份驗證，JWT 都是一個強大的工具，因為它們：

• 無狀態: JWT 是自包含的，無需服務器端狀態驗證。JWT 可以通過簽名確保數據的完整性。
• 跨服務兼容性: JWT 可以輕鬆在不同的服務間共享和驗證。
• 可擴展: JWT 的有效載荷可以包含自定義的聲明，允許靈活的授權和信息共享。

JWT 的結構

一個典型的 JWT 被分為三部分，每部分用 Base64URL 編碼並由句號（.）分隔：

• 標頭 - 包含元數據，如簽名算法（例如，HS256 或 RS256）和令牌的類型（JWT）。
• 有效載荷 - 包含實際數據，如用戶 ID、用戶配置文件、過期時間或範圍。
• 簽名 - 標頭、有效載荷的哈希組合並使用密鑰加密。其目的是確保令牌的完整性並確認它未被篡改。

此結構使 JWT 能夠在各方之間提供一種緊湊且安全的信息傳輸方式。

JWT 中常見的令牌聲明

聲明是有效載荷的一部分，並持有關鍵信息。以下是你的參考標準化註冊聲明：

根據授權服務器的規範和配置，有可能在有效載荷中包含其他聲明以支持特定的用例。你還可以向 JWT 添加自定義聲明以滿足獨特的業務需求。

什麼時候使用 JWT？

在以下情況下，JWT 可能特別有用：

1. 微服務架構: 用於多個服務之間的無狀態身份驗證。
2. 單點登錄 (SSO) 系統: 使用一次身份驗證即可訪問多個應用程序。
3. 移動應用程序: 在 API 調用中有效地維持用戶會話。
4. 高流量應用程序: 在高流量環境中減少數據庫負擔。
5. 跨域資源共享 (CORS): 簡化多個域之間的身份驗證。
6. 無服務器架構: 提供無狀態身份驗證，在服務器端會話較難以管理的情況下。