开篇本文内容是参考了很多大佬的文章写的。简介jwt是一种基于JSON的令牌,用于在网络上声明某些声明。jwt通常由三部分组成:头部信息、消息体、签名。它是用于在两方之间传递安全信息的声明性声明规范。主要用于集群分发。作用:可用于权限验证,是一种标准化的数据传输规范,但不用于数据加密和保护。使用场景授权:用于授权而不是认证。通过身份验证,我们验证用户的用户名和密码是否有效,并将用户登录到系统中,通过授权,我们验证发送到服务器的请求属于经过身份验证的登录用户,以便用户可以被授予访问系统权限,然后批准用户使用获得的令牌访问路由、服务和资源。信息交换:JSON网络令牌是在两方之间安全传输信息的好方法。因为可以对jwts进行签名,这使您能够确保发件人是他们声称的人,并且由于签名是使用标头和有效负载计算的,它还使您能够验证发送的内容是否未被篡改。与token+redisJWT相比,就是JsonWebToken,这是一种典型的Token方式。JWT和Token+Redis的区别其实就是Token,但是JWT的可靠性保证来自于加密算法(对称加密和非对称加密),而Token+Redis的方案依赖于后台的数据存储。这两个本质也带来了使用上的差异:1.JWT是去中心化的,不需要任何后台数据共享。第三方认证、跨数据中心认证、微服务等都适合使用JWT。当然,因为是去中心化的,不是实时验证,所以基本上不可能主动让token过期(如果做了,就违背了初衷)2Token+Redis是中心化的,必须能识别token访问Redis,除非有特殊需要实时检测每一个token,否则选择JWT。毕竟是成熟通用的技术,传播和维护成本低,对开发者也比较友好。至此,我忘了是哪位大佬的文章摘录了,所以很抱歉没有给出参考地址。Process用户通过登录向服务系统发起请求,然后生成带有一定用户信息的数据作为token(jwt)返回给用户。用户在请求接口时获取返回信息放在header中,服务系统会从头开始。部门获得token后,验证签名的有效性,并向客户端做出相应的响应。Authorization:Bearer
