什么是 JWT？

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息。它由 Header、Payload 和 Signature 三部分组成。

JWT 结构

• Header: 包含令牌类型和签名算法
• Payload: 包含声明（Claims），即传输的数据
• Signature: 使用密钥对 Header 和 Payload 的签名

标准声明

• iat: 签发时间（Issued At）
• exp: 过期时间（Expiration Time）
• nbf: 生效时间（Not Before）
• iss: 签发者（Issuer）
• aud: 接收方（Audience）
• sub: 主题（Subject）

应用场景

• 用户身份认证和授权
• 单点登录（SSO）
• API 访问令牌
• 信息交换

安全提示

• 密钥必须保密，不要暴露在客户端代码中
• JWT 默认不加密，敏感信息需额外加密
• 设置合理的过期时间，避免长期有效的令牌
• 生产环境建议使用 RS256 等非对称算法