什么是JWT?本篇文章带大家了解一下JWT，介绍一下JWT在node中的应用，以及JWT的优缺点，希望对大家有所帮助!

什么是JWT

JWT也就是JSON Web Token的缩写，也就是为了在网络应用环境中一种认证解决方案，在传统的认证机制中，无非是一下几个步骤：

这种模式有一种优势在于，服务器随时可以终止用户的权限，可以去数据库修改或者删除当前用户的session信息。但是也有一点不好的，就是如果是服务器集群的话，所有的机器就需要共享这些session信息，确保每台服务器都能够获取到相同的session存储信息。虽然可以解决这些问题，但是工程量巨大。

JWT方案的优势呢，就是不保存这些信息，token数据保存在客户端，每次接受请求时，只需要校验就好。

JWT的原理

简单说一下JWT的原理，其实就是客户端发送请求认证的时候，服务器在认证用户之后，会生成一个JSON对象，大概包括“你是谁，你是干嘛的等等，”到期时间这些信息，重要的是一定要有到期时间;大致格式为：

但是不会用这么肤浅的方式传给你，它会通过制定的签名算法和你提交的payload的一些信息进行可逆的签名算法进行签名后传输。

返回的信息大致分为三部分，左侧为签名之后的结果，也就是返回给客户端的结果，右侧也是就Decoded的源码了，三部分由“点”隔开，分别由红、紫、青三种颜色一一对应：

默认HS256

第一个红色部分是Header，Header中主要是指定了的方式，图中的签名算法()就是带有 SHA-256 的 HMAC 是一种对称算法, 双方之间仅共享一个密钥，typ字段标识为JWT类型;

第二个紫色部分payload，就是一个JSON对象，也就是实际要传输的数据，官方有七个字段可以使用：

iss (issuer)：签发人

exp (expiration time)：过期时间

sub (subject)：主题

aud (audience)：受众

nbf (Not Before)：生效时间

iat (Issued At)：签发时间

jti (JWT ID)：编号

除了这些字段，你还可以搞一些自定义的字段，由于JWT默认是不加密的，所以在使用的时候尽量注意不要使用一些敏感数据。

第三部分就是Signature签名，这一部分，是由你自己指定且只有服务器存在的秘钥，然后使用头部指定的算法通过下面的签名方法进行签名。

总结

以上主要讲了几点：

JWT的原理，主要是通过服务器的私钥对JSON的签名产生的token进行会话;

也介绍了JWT内部数据的组成，是由Header用来指定签名算法和类型的，payload来传输JSON数据，Signature来对数据进行签名算法，放置篡改;

具体介绍了一下如何通过nodejs使用JWT，通过sign方法进行数据签名，verify方法进行签名验证;

还介绍了一些JWT的不足：

一个是存储空间随着签名数据量的增大而增加;

再有就是安全性，如果由于存储空间过大将无法存储在安全级别相对较高的Cookie中，导致脚本可以随意获取;

再有就是时效性，无法灵活的控制token的时效性;