JWT:在客户端传递的身份凭证
**JSON Web Token (JWT)** 是一种开放标准(RFC 7519),用于在各方之间安全地传输信息。它常用于 **无状态认证**,取代传统的 Session/Cookie 模式。
JWT 的三部分结构:
| 部分 | 作用 | 编码 |
|---|---|---|
| **Header** | Token 类型和签名算法 | Base64 URL |
| **Payload (载荷)** | Claims(用户ID, 角色, 过期时间等) | Base64 URL |
| **Signature (签名)** | 验证 Token 完整性和真实性 | HMAC/RSA |
后端应用只需验证签名即可确认 Token 的有效性,无需查询数据库,实现了 **无状态性**。安全性考量:Payload **未加密**,不应存放敏感数据;必须使用 **强密钥** 进行签名;并应实现 **Token 黑名单/吊销** 机制,以应对安全风险。
评论区