在 Web 开发中,尤其是前后端分离的架构中,JWT(JSON Web Token)是一种非常流行的用户身份验证和信息传递方案。相比传统的 Session 机制,JWT 更轻量、更灵活,也更适合微服务、移动端等场景。本文将带你全面了解 JWT 的定义、结构、工作原理及实际应用价值。
一、JWT 是什么?
JWT,全称为 JSON Web Token,是一种开放标准(RFC 7519),用于在网络应用环境中以 JSON 格式安全地传递声明信息。
它通常被用作身份认证的“令牌”(Token),由服务器生成并发送给客户端,客户端携带该令牌进行后续访问,服务端只需验证其签名是否有效,而无需保存会话信息。
二、JWT 的结构
一个 JWT 通常由三部分组成,用点号 . 连接:
Header.Payload.Signature
1. Header(头部)
声明签名算法和类型,通常是这样的 JSON:
{
"alg": "HS256",
"typ": "JWT"
}
经 Base64 编码后构成第一部分。
2. Payload(载荷)
即 Token 中实际传递的数据内容,也称为“声明”(Claims)。例如:
{
"sub": "1234567890",
"name": "Alice",
"iat": 1688888888,
"exp": 1688999999
}
也会被 Base64 编码后构成第二部分。
3. Signature(签名)
为了防止数据被篡改,将 Header 和 Payload 拼接后用密钥进行加密生成签名。例如:
HMACSHA256(
base64UrlEncode(header) + "." + base64UrlEncode(payload),
secret
)
服务端验证签名是否匹配,从而确保数据未被篡改。
三、JWT 的工作原理
- 用户登录
- 用户提供用户名和密码,服务端验证通过后生成 JWT。
- 返回 Token
- JWT 返回给客户端(通常保存在浏览器的 localStorage 或 App 的本地缓存中)。
- 携带 Token 请求接口
- 客户端在每次请求时,在 HTTP Header 中添加:
Authorization: Bearer <token>
- 客户端在每次请求时,在 HTTP Header 中添加:
- 服务端验证 Token
- 服务端验证签名和有效期,无需再查询 Session 数据。
- 授权访问
- 验证成功则允许访问,失败则拒绝。
四、JWT 的优势
- ✅ 无状态,服务端无需保存会话信息
- ✅ 跨语言、跨平台支持良好
- ✅ 结构简单,便于解析与调试
- ✅ 适合微服务和移动端接口调用
五、常见的应用场景
- 前后端分离项目的登录认证
- 移动应用与服务端的通信
- 第三方平台的授权机制(如 OAuth 2.0)
- 单点登录(SSO)
六、使用 JWT 的注意事项
- Token 有效期不宜太长,否则被盗后影响大;
- 务必使用 HTTPS 传输,避免被中间人拦截;
- 不要在 JWT 中存敏感数据,即使它是签名的;
- 实现 Token 失效机制,比如黑名单、刷新 Token;
- 签名密钥要保密并定期更换。
七、JWT 与 Session 的区别
| 项目 | JWT | Session |
|---|---|---|
| 存储位置 | 客户端(如 localStorage) | 服务端(内存/数据库) |
| 可扩展性 | 高(无状态) | 低(状态需同步) |
| 安全性 | 依赖签名与 HTTPS | 依赖 Cookie 安全机制 |
| 横向扩展 | 方便(无中心状态) | 需共享 Session |
JWT 是一种现代化、轻量级、安全的身份验证机制,特别适合于微服务架构、移动应用、跨域系统等场景。它通过结构化的方式将用户信息、权限、过期时间等内容嵌入 Token 中,既提升了开发效率,又降低了服务器负担。
如果你正在设计一个前后端分离的项目或 API 平台,JWT 无疑是你实现用户身份管理的有力工具之一。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
