网络令牌的解释

传统的网站用户认证模式是基于cookie认证的。在一个典型的REST架构中，服务器不保留任何客户状态。从安全角度来说，REST的无状态方式使会话session不合适。使用cookie来保证REST服务时，会话劫持和跨站点请求伪造是常见的安全问题。因此，他们需要验证和保护无状态的REST服务。

本文我们将学习使用JSON网络令牌来保护REST API。JSON网络令牌是一个开放的，表示双方安全的工业标准RFC7519 方法。JWT碰巧得到公司如Firebase，Google，Microsoft，和Zendesk的支持。

用一个比喻来理解

我们都有一张借记卡。插入一个自动取款机，就可以取钱。我的借记卡只能访问我的账户，并且一旦过期不能使用。JSON网络令牌也类似，你插入你的token到一个用户认证系统，获取属于你的受限的数据。

JWT的工作原理

使用JWT进行用户认证时，通常存储token到浏览器的本地存储或会话存储。退出时删除token就可以了。不用使别的无效。采用这种方法进行身份认证的好处之一是token不保存在数据库中，因此认证时不用查询任何会话存储。

在下面这个简单插图的帮助下，我们看看它-

JWT的结构

JSON网络令牌的例子：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJ0b3B0YWwuY29tI iwiZXhwIjoxNDI2NDIwODAwLCJodHRwOi8vdG9wdGFsLmNvbS9qd3RfY2xhaW1zL2lzX2FkbWluI jp0cnVlLCJjb21wYW55IjoiVG9wdGFsIiwiYXdlc29tZSI6dHJ1ZX0.yRQYnWzskCZUxPwaQupWk iUzKELZ49eM7oWxAQK_ZXw