什么是 JWT？先看一个生活比喻

假设你去图书馆借书，管理员给你一张带盖章的借阅证，上面写着你的姓名、借阅权限和有效期。每次借书时，你只需出示这张证，管理员核对盖章无误就会放行 —— 这就是 JWT（JSON Web Token）的核心逻辑。

JWT 的正式定义：
一种紧凑、自包含的 JSON 格式令牌，用于在客户端和服务器之间安全传输身份信息，无需服务器存储会话数据，是现代 Web 应用中最主流的身份验证方案之一。

JWT 的三大核心组件：拆解 "数字护照" 的结构

一个标准的 JWT 由三段字符串组成，用点号（.）分隔，形如：header.payload.signature。我们以一个实际示例来拆解：

1 头部（Header）：令牌的 "身份标签"

作用：声明令牌类型和加密算法。
示例内容（JSON 格式）：

{
  "alg": "HS256",  // 加密算法为HMAC SHA-256
  "typ": "JWT"     // 令牌类型
}

编码后（Base64Url 编码）：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

2 有效载荷（Payload）：存储的 "身份信息"

作用：存放用户标识、权限、过期时间等数据。
注意：不加密但可解码，绝不能存密码等敏感信息！
示例内容（JSON 格式）：

{
  "sub": "123456",       // 用户ID
  "username": "user123", // 用户名
  "role": "admin",       // 角色
  "exp": 1698563200      // 过期时间（Unix时间戳）
}

编码后（Base64Url 编码）：

eyJzdWIiOiIxMjM0NTYiLCJ1c2VybmFtZSI6InVzZXIxMjMiLCJyb2xlIjoiYWRtaW4iLCJleHAiOjE2OTg1NjMyMDB9

3 签名（Signature）：防篡改的 "数字盖章"

作用：用服务器私有的密钥对头部和 payload 进行加密，确保令牌未被篡改。
生成方式：

// 伪代码：HMACSHA256(
//   base64UrlEncode(header) + "." + base64UrlEncode(payload),
//   "服务器私有密钥"
// )

示例签名：

Xf23Jsl56y7aBx12C5z7D9kL3mN4p8Q7rT9y6W2s5j9D1z0A4c7v2M8b9n0

JWT 工作流程：从登录到 API 请求的全链路

以 "用户登录电商 APP" 为例，看 JWT 如何工作：

步骤 1：用户登录，服务器发放 JWT

• 用户输入账号密码，向服务器发送登录请求。
• 服务器验证通过后，生成包含用户信息的 JWT，例如：
  eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTYiLCJ1c2VybmFtZSI6InVzZXIxMjMiLCJyb2xlIjoiYWRtaW4iLCJleHAiOjE2OTg1NjMyMDB9.Xf23Jsl56y7aBx12C5z7D9kL3mN4p8Q7rT9y6W2s5j9D1z0A4c7v2M8b9n0

步骤 2：客户端存储 JWT

• 浏览器 / APP 将 JWT 存储在localStorage或sessionStorage中。

步骤 3：每次请求携带 JWT

• 用户浏览商品时，APP 向 API 发送请求，在 HTTP 头部添加 JWT：
• http
• Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
• 
  

步骤 4：服务器验证 JWT

• 服务器提取 JWT，用私有密钥验证签名是否有效。
• 解析 payload，获取用户权限（如 "admin"），决定是否允许访问商品详情 API。

实战示例：用 Node.js 生成和验证 JWT

1. 安装依赖

npm install jsonwebtoken

2. 生成 JWT 的代码（服务器端）

const jwt = require('jsonwebtoken');

// 生成JWT的函数
function generateJWT(user) {
  const payload = {
    sub: user.id,
    username: user.name,
    role: user.role,
    exp: Math.floor(Date.now() / 1000) + (24 * 60 * 60) // 24小时后过期
  };
  
  // 密钥需保密，建议从环境变量获取
  const secretKey = 'your-secret-key-should-be-very-secure';
  
  // 生成JWT
  const token = jwt.sign(payload, secretKey, { algorithm: 'HS256' });
  return token;
}

// 示例：生成用户令牌
const user = { id: '123456', name: 'user123', role: 'user' };
const token = generateJWT(user);
console.log('生成的JWT:', token);

3. 验证 JWT 的代码（服务器端）

function verifyJWT(token) {
  const secretKey = 'your-secret-key-should-be-very-secure';
  
  try {
    // 验证JWT并解析payload
    const decoded = jwt.verify(token, secretKey);
    return { valid: true, data: decoded };
  } catch (error) {
    return { valid: false, error: error.message };
  }
}

// 示例：验证令牌
const result = verifyJWT(token);
if (result.valid) {
  console.log('用户信息:', result.data);
  // 根据role字段判断权限，如允许访问管理员接口：
  if (result.data.role === 'admin') {
    console.log('允许访问管理员API');
  }
} else {
  console.log('令牌无效:', result.error);
}

JWT 的优缺点与安全建议

优点

1. 无状态：服务器不存储会话，轻松应对高并发；
2. 跨域友好：可在多个服务间共享，适合微服务架构；
3. 紧凑便携：体积小，传输效率高。

缺点与安全隐患

1. ** payload 非加密 **：敏感信息（如身份证号）绝不能存入；
2. 令牌被盗风险：需配合 HTTPS 传输，避免使用localStorage（可被 XSS 攻击窃取），推荐用HttpOnly Cookie存储；
3. 过期机制限制：无法主动让令牌提前失效，需配合黑名单机制。

总结：JWT 为何是现代 Web 的 "基础设施"？

从社交媒体登录到 API 接口保护，JWT 以 "无状态 + 自验证" 的特性，成为了前后端分离时代的身份验证标配。理解它的原理，就像掌握了一把解读现代 Web 安全机制的钥匙 —— 下次登录 APP 时，不妨想想你手机里存储的那串 JWT 令牌，正在如何为你保驾护航～