简述jwt

什么是jwt

Json Web Token 简称为 JWT，它定义了一种用于简洁、自包含的用于通信双方之间 以 JSON 对象的形式安全传递信息的方法。JWT 可以使用 HMAC 算法或者是 RSA 的公钥密钥对进行签名。

JSON Web Token（JWT）是一个开放式标准（RFC 7519），它定义了一种紧凑（Compact）且自包含（Self-contained）的方式，用于在各方之间以JSON对象安全传输信息。这些信息可以通过数字签名进行验证和信任。可以使用秘密（使用HMAC算法）或使用RSA的公钥/私钥对对JWT进行签名。

JWT适用场景

这是使用JWT最常见的情况。一旦用户登录，每个后续请求都将包含JWT，允许用户访问该令牌允许的路由，服务和资源。单点登录是当今广泛使用JWT的一项功能，因为它的开销很小，并且能够轻松地跨不同域使用。Information Exchange（信息交换） ：JSON Web Tokens是在各方之间安全传输信息的好方式。因为JWT可以签名：例如使用公钥/私钥对，所以可以确定发件人是他们自称的人。此外，由于使用标头和有效载荷计算签名，因此您还可以验证内容是否未被篡改。

简述实现过程

1、客户端使用用户名和密码进行验证。

2、服务端生成有效时间较短的Access Token，和有效时间较长的Refresh Token。

3、客户端访问需要认证的接口时，携带Access Token。

4、如果Access Token没有过期，那么久鉴权后返回客户端需要的数据。

5、如果鉴权失败(例如返回401错误)，则使用Refresh Token向刷新接口申请新的Access Token。

6、如Refresh Token没有过期，服务端向客户端发新的Access Token

7、客户端使用新的Access Token访问需要认证的接口。