JWT是什么及实现方式详解

JWT是一种轻量、自包含的开放式身份验证标准，通过Header、Payload、Signature三部分构成的紧凑字符串实现服务端签发、客户端存储与请求携带，凭借数字签名确保数据完整性与防篡改，在分布式系统中显著降低数据库查询开销；文章深入浅出地解析了其结构原理、前后端（以Node.js为例）集成实践（含登录签发、请求拦截、中间件验证），并强调密钥管理、合理过期、敏感操作二次验证及登出失效等关键安全细节——掌握JWT，就是掌握现代Web应用高效又可靠的身份认证核心逻辑。

JWT（JSON Web Token）是 JavaScript 中常用的一种轻量级、自包含的身份验证机制，它把用户身份信息编码成一个字符串，服务端签发、客户端存储、每次请求携带，后端通过验签确认身份，无需查库，适合分布式系统。

JWT 的结构和原理

一个 JWT 由三部分组成，用点号（.）分隔：Header.Payload.Signature。

• Header：声明签名算法（如 HS256）和 token 类型（JWT）
• Payload：存放实际数据，比如用户 ID、角色、过期时间（exp）、签发时间（iat）等。注意：不加密，仅 Base64Url 编码，不能放密码、敏感密钥等
• Signature：用私钥（或共享密钥）对前两部分签名，防止篡改。服务端收到后重新计算签名比对，一致才信任

前端如何使用 JWT 做登录和请求携带

用户登录成功后，后端返回 JWT 字符串，前端通常存在 localStorage 或 httpOnly cookie（更安全）中。

• 后续请求在 Authorization 请求头中带上：Bearer
• 用 fetch 或 axios 自动附加，例如：

axios.defaults.headers.common['Authorization'] = 'Bearer ' + token;

也可封装请求拦截器，自动读取 token 并注入，过期时跳转登录页。

后端（Node.js 示例）如何签发和验证 JWT

常用库是 jsonwebtoken（npm install jsonwebtoken）。

• 签发（登录成功时）：

const jwt = require('jsonwebtoken');
const token = jwt.sign({ userId: 123, role: 'user' }, 'your-secret-key', { expiresIn: '24h' });

• 验证（中间件中）：

jwt.verify(token, 'your-secret-key', (err, decoded) => {
  if (err) return res.status(401).json({ error: 'Invalid or expired token' });
  // decoded 包含 payload 内容，可挂到 req.user 上继续处理
});

安全注意事项

• 密钥必须保密，生产环境别硬编码，用环境变量管理
• 设置合理过期时间（expiresIn），短期 token + 刷新机制更稳妥
• 敏感操作建议二次验证（如改密码时再输一次密码）
• 登出时前端清空 token 即可；如需服务端主动使 token 失效，得配合 Redis 黑名单或短生命周期 + refresh token 方案

基本上就这些。JWT 不复杂但容易忽略细节，关键是理解“谁签的、谁验的、数据在哪、怎么防篡改”。

理论要掌握，实操不能落！以上关于《JWT是什么及实现方式详解》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！