JWT（JSON Web Token）

        JWT（JSON Web Token）是一种用于在各方之间作为 JSON 对象安全地传输信息的紧凑、URL 安全的方式。 JWT 由于其紧凑和自包含的特点，非常适合于在移动设备等资源受限的环境中使用。

使用场景

使用场景主要集中在身份验证和信息交换：

        身份验证 - 单点登录（SSO）- JWT 常用于实现单点登录（Single Sign-On）机制，用户只需一次登录即可访问多个应用程序。JWT 作为令牌在各个系统之间传递，简化了身份验证过程。

        Web 和移动应用- 在用户登录后，服务器生成一个 JWT 并返回给客户端。客户端将 JWT 存储在本地存储或会话存储中，每次发送请求时，将 JWT 添加到 HTTP 请求头的 Authorization 字段中。服务器通过验证 JWT 来识别用户身份，而无需每次请求都查询数据库。

        安全数据传输- JWT 可以用于在各方之间安全地传输信息，因为它可以被签名并且经过加密处理。这确保了数据在传输过程中不被篡改，并且只有预定的接收者才能读取内容。

        API 认证和授权 - API 服务通常使用 JWT 来认证和授权客户端请求。客户端在调用 API 时，将 JWT 附加到请求头中，API 服务通过验证 JWT 来确定请求的合法性和权限。

        在微服务架构中，服务之间的通信可以通过 JWT 来进行认证和授权。每个服务可以生成和验证 JWT，从而减少对集中式身份验证服务器的依赖，提高系统的可靠性和可扩展性。

        通信在一些分布式系统中，各个服务之间需要相互认证和授权，通过 JWT 可以实现这一目的。每个服务在发起请求时附加一个 JWT，接收服务通过验证 JWT 来确认请求的来源和合法性。

        临时访问令牌 - JWT 可以用作临时访问令牌，为用户提供短期的权限。例如，用户请求一个临时链接来重置密码或访问某个资源，服务器生成一个短期有效的 JWT 并发送给用户，用户通过这个令牌可以在有限时间内完成相应操作。

        无状态会话 - JWT 的自包含特性使其非常适合于无状态会话管理。服务器不需要在会话期间存储用户的会话数据，只需验证每次请求中的 JWT。这样可以减轻服务器的负担，提高系统的可扩展性。

安全性考虑

      1. 秘密管理：确保用于签名的秘密密钥安全存储，不泄露给第三方。

      2. 算法选择：选择安全的签名算法，避免使用已知弱点的算法。

      3. 声明验证：在使用 JWT 时，验证所有的声明，特别是 exp（过期时间），以防止令牌重放攻击。

JWT 结构

具体结构可分为三个部分：头部（Header）、有效负载（Payload）和签名（Signatur