我对JWT的理解
Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于 JSON的开放标准((RFC
7519).定义了一种简洁的,自包含的方法用于通信双方之间 以JSON对象的形式安全的传递信息。因为数字签名的存在,这些信息是可信的
,JWT可以使用HMAC算法或者是RSA的公私秘钥对进行签名。 一句话就是,jwt就是一个有格式定义的字符串,久而久之形成的一个规范。浏览器接收到服务器发过来的jwt后,可以存储在Cookie或localStorage中。
之后,浏览器每次与服务器通信时都会带上JWT。可以将JWT放在Cookie中,
会自动发送(不跨域),或将JWT放在HTTP请求头的授权字段中;
具体流程如下:
1.浏览器发起登录请求
2.服务端验证登录信息是否正确,如果正确创建jwt token
3.服务端将jwt token 返回给浏览器
4.浏览器再次请求服务端时,将jwt token设置在请求头中
5.服务端验证jwt token是否正确,如果正确返回该用户的用户信息