【JWT】前后端分离应用，jwt的token服务端不保存、仅保存加密的secret，所有用户都是这一个secret

 

1、前后端分离，即服务端和前端只关心自己的事。

2、使用jwt作为api认证凭证

3、不废话，php版本的直接上教程和链接，超简单的。

https://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc

https://www.jianshu.com/p/dcdcf0f29f93

https://www.jb51.net/article/146790.htm

https://github.com/lcobucci/jwt/tree/3.3.1

 

4、jwt原理：通过http header 带上 cookie或者sessionStorage的jwt，然后服务端接受，并进行解码验证签名是否正确

5、服务端仅仅保留一个secret，注意这不是jwt，而是jwt加密的key 也就是hash里面的salt盐，让你拿到了我的header、payload也没用。

 

6、个人觉得jwt也不是很安全，除非使用https，其实你使用了https，裸奔数据都可以。

最好还是使用jwt，然后所有后端api都进行一套js加密，规则自己定，这样才能保证签名和数据两者都正确。