JWT(JSON Web Token)是一个自包含,可签名额字符串,常用于鉴权
结构:

1
HEADER.PAYLOAD.SIGNATURE

HEADER:描述算法如HS256
Patload(Claims): 放自定义字段和标准字段,比如用户ID,过期时间,这个是外部可读的
Signature:对 header+payload 用密钥/私钥签名,保证不可篡改

  • AccessToken: 短期,用于日常访问,包含用户信息
  • RefreshToken: 长期,用于换新的accessToken,包含少量信息

JWT工作流程: 用户登录服务器,后端签发accessToken和refreshToken,前端保存token,每次访问接口时带上token,后端验证accessToken,通过则返回数据,如果accessToken过期了,前端自动使用RefreshToken获取新的accessToken,如果refreshToken也过期了,用户要重新登陆