JWT 鉴权机制 通俗易懂解释版本

✅ 一句话理解 JWT 鉴权机制

JWT 就像是网站发给你的一张"通行证",你拿着它才能进入特定区域。

这个"通行证"里包含了你的身份信息,还被加密签了名,别人无法伪造。


🔐 什么是 JWT(JSON Web Token)?

JWT 是一种 用户身份验证 的方式,常用于"前后端分离"的系统中。

它长这样(实际是一串很长的字符串):

复制代码
eyJhbGciOi...2ZpbnRlc3QifQ.eyJzdWIiOiIxMjM0NTYifQ.RXo9uFo...

JWT 包含三部分:

复制代码
[头部].[载荷].[签名]
  • 头部 Header:说明用了什么算法
  • 载荷 Payload:包含用户的信息(比如 user_id, 角色)
  • 签名 Signature:把前两部分用密钥加密后生成的,防止被篡改

👨‍🏫 打个比方:公司门禁卡(现实类比)

想象你在公司上班:

  1. 第一次你去前台登记,出示身份证 + 拍照 + 填资料

    → 你登录账号,输入用户名密码

  2. 前台发给你一张门禁卡(JWT Token)

    → 系统生成一个 JWT 给你,里面写了你的身份,比如:

    json 复制代码
    {
      "sub": "user_123",
      "role": "admin",
      "exp": "2025-04-17T00:00:00"
    }
  3. 你每天进公司都刷这张卡

    → 你访问接口时,在请求头里加上这个 token:

    http 复制代码
    Authorization: Bearer eyJhbGciOi...
  4. 保安扫描卡片,验证身份和是否过期

    → 后端用密钥解码 token,验证是否有效


🧪 实际开发流程

  1. 用户第一次登录:

    • 提交用户名和密码
    • 服务器验证通过,生成一个 JWT token 返回给前端
  2. 前端保存 token(一般放在 localStorage 或 cookie)

  3. 之后每次发请求,前端都在请求头加上这个 token:

    http 复制代码
    GET /api/user/profile
    Authorization: Bearer <你的 token>
  4. 后端用密钥解码这个 token,验证:

    • 是否有效?
    • 有没有被篡改?
    • 有没有过期?
    • 用户是谁?
  5. 如果一切正常,放行;否则返回 401 未授权。


🔐 JWT 和传统 Session 的区别(简明对比)

项目 JWT Session
保存位置 前端保存 token 后端保存 session 数据
状态 无状态(Stateless) 有状态(需要记录)
扩展性 高,适合分布式 低,难于扩展
安全性 被窃取就失效 可随时强制失效
示例场景 前后端分离项目 传统服务端渲染项目

💡 举个开发中常见的 JWT 用法例子:

python 复制代码
# 登录时
POST /api/login
{
  "username": "alice",
  "password": "123456"
}
=> 返回 token:
"eyJhbGciOi..."

# 获取用户信息
GET /api/user/me
Headers:
Authorization: Bearer eyJhbGciOi...

后端流程:
  → 解码 token 得到用户 ID
  → 查询数据库,返回用户信息

✅ 总结一张图搞懂 JWT 鉴权流程:

复制代码
[用户登录] → [服务端验证密码] → [生成 JWT token] → [返回给前端]

[之后请求]:
  前端发送 token → 后端验证 token 是否有效 → 决定是否放行
相关推荐
叫我阿柒啊7 天前
从Java全栈到前端框架:一场真实面试的深度技术探索
java·redis·微服务·typescript·vue3·springboot·jwt
叫我阿柒啊7 天前
从Java全栈到前端框架:一场真实的技术面试实录
java·spring boot·redis·typescript·vue3·jwt·前后端分离
csdn_aspnet8 天前
.NET 8 集成 JWT Bearer Token
jwt·.net8
༒࿈༙྇洞察༙༙྇྇࿈༒12 天前
jwt原理及Java中实现
java·开发语言·状态模式·jwt
3Cloudream13 天前
互联网大厂Java面试实录:Spring Boot与微服务架构解析
spring boot·微服务·hibernate·jwt·java面试
叫我阿柒啊16 天前
从全栈开发到微服务架构:一次真实的Java面试实录
java·redis·ci/cd·微服务·vue3·springboot·jwt
Mysticbinary20 天前
JWT身份认证原理介绍
鉴权·jwt·签名·会话认证
小李是个程序23 天前
登录与登录校验:Web安全核心解析
java·spring·web安全·jwt·cookie
java坤坤1 个月前
GoLand 项目从 0 到 1:第四天 —— 技术选型落地与方案设计
golang·jwt
Micro麦可乐1 个月前
前端与 Spring Boot 后端无感 Token 刷新 - 从原理到全栈实践
前端·spring boot·后端·jwt·refresh token·无感token刷新