JWT（JSON Web Token） 是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为紧凑且自包含的 JSON 对象。它被广泛用于身份验证（Authentication）和授权（Authorization），是现代 Web 开发中替代传统 Session-Cookie 方案的流行技术。

---

核心结构：三部分拼接

JWT 由三部分组成，用 . 分隔：
Header.Payload.Signature
示例：
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0IiwibmFtZSI6IkpvaG4iLCJpYXQiOjE1MTYyMzkwMjJ9.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

1. Header（头部）

• 作用：声明令牌类型和签名算法。
• 示例：

  {"alg": "HS256",  // 签名算法（如 HS256、RS256）"typ": "JWT"     // 令牌类型
  }
  

• Base64Url 编码 → 生成第一部分。

2. Payload（负载）

• 作用：携带实际数据（如用户 ID、权限、过期时间）。
• 包含三类声明：
  • 预定义声明（Registered Claims）：标准字段（非强制）
    iss（签发者）、exp（过期时间）、sub（主题）、aud（受众）等。
  • 公开声明（Public Claims）：自定义公开字段（需避免冲突）。
  • 私有声明（Private Claims）：双方约定的自定义数据。
• 示例：

  {"sub": "1234567890",      // 用户 ID"name": "Alice","admin": true,"iat": 1516239022         // 签发时间
  }
  

• Base64Url 编码 → 生成第二部分。

3. Signature（签名）

• 作用：验证令牌完整性和来源可信性。
• 生成公式：

  HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload),secretKey
  )
  

• 关键点：
  • 使用 Header 指定的算法（如 HS256）和密钥生成。
  • 防篡改：任何对 Header 或 Payload 的修改都会导致签名验证失败。

---

工作流程：身份验证场景

---

关键特性

特性	说明
无状态（Stateless）	服务端无需存储会话信息，减轻数据库压力。
跨域友好	可放在 HTTP Header 或 URL 中，不受同源策略限制（与 Cookie 不同）。
自包含（Self-contained）	Payload 可直接解析出用户信息，减少查询次数。
可扩展性	自定义 Payload 添加业务数据（如用户角色、权限列表）。

---

安全注意事项

1. 敏感信息泄露
   问题：Payload 仅 Base64 编码（非加密），可被解码查看。
   解决：

   • 避免在 Payload 存储密码、银行卡号等敏感数据。
   • 敏感数据需加密后再放入 Payload。

2. 签名算法安全

   • 禁用 "alg": "none"：防止攻击者绕过签名验证。
   • 推荐强算法：如 HS256（对称）或 RS256（非对称）。

3. 密钥管理

   • HS256：密钥需足够复杂（长度 >32 字符），并在服务端安全存储。
   • RS256：私钥严格保密，公钥用于验证（更安全）。

4. 令牌过期

   • 必设 exp（过期时间），缩短攻击窗口期（建议 15-30 分钟）。

5. 令牌吊销问题
   难点：JWT 天然无状态，无法中途废止（除非等待过期）。
   解决方案：

   • 维护令牌黑名单（需牺牲无状态性）。
   • 设置短有效期 + 使用 Refresh Token 机制（见下图）。

---

最佳实践：Access Token + Refresh Token

• Access Token：短有效期（如 15 分钟），用于请求资源。
• Refresh Token：长有效期（如 7 天），存储于数据库，用于获取新 Access Token。

---

代码示例：Node.js 生成/验证 JWT

const jwt = require('jsonwebtoken');// 生成 JWT（HS256 对称算法）
const payload = { userId: "123", role: "admin" };
const secret = "your-strong-secret"; // 密钥
const token = jwt.sign(payload, secret, { expiresIn: '1h' });
console.log("Generated Token:", token);// 验证 JWT
jwt.verify(token, secret, (err, decoded) => {if (err) console.error("验证失败:", err.message);else console.log("Decoded Payload:", decoded); // { userId: '123', role: 'admin', iat: ..., exp: ... }
});

---

适用场景 vs 不适用场景

适用场景	不适用场景
无状态 API 认证	需要即时吊销令牌的系统
微服务间安全通信	传输大量敏感数据
单点登录（SSO）	客户端无法安全存储令牌的场景
移动端/前后端分离应用

---

调试工具

• 在线解析：https://jwt.io
  （可查看 Header/Payload，但勿泄露真实 Token）

---

总结

• JWT 本质：Base64(Header).Base64(Payload).Signature。
• 核心价值：无状态、跨域友好、自包含。
• 安全铁律：强签名算法、短有效期、避免敏感数据、密钥严格保护。
• 进阶方案：Access Token + Refresh Token 平衡安全性与用户体验。

理解 JWT 的机制和安全实践，是构建现代分布式系统的必备技能。