jwt的token机制原理是甚么

JWT（JSON Web Token）是一种用于身份验证和授权的开放标准（RFC 7519），它是一种轻量级的无状态身份验证机制，用于在客户端和服务器之间传递安全可靠的信息。
JWT的机制原理以下：

1. 客户端通过用户名和密码向服务器发送身份验证要求。
2. 服务器验证用户的身份信息，并生成一个包括用户信息的JWT。JWT由三部份组成：头部（Header）、载荷（Payload）和签名（Signature）。
3. 头部包括加密算法和类型信息，通常是使用HMAC SHA256或RSA算法进行签名。
4. 载荷包括要传递的用户信息，可以自定义一些标准字段，如过期时间（exp）、发行者（iss）等。
5. 签名是使用服务器的私钥对头部和载荷进行签名，确保JWT在传输进程中不被篡改。
6. 服务器将生成的JWT返回给客户端。
7. 客户端在每次要求中都将JWT放在要求头或参数中发送给服务器。
8. 服务器接收到JWT后，使用公钥对JWT进行验证和解析。
9. 服务器校验签名是否是有效，验证JWT的有效期等信息。
10. 服务器根据验证结果决定是否是授权用户访问资源。

JWT的优点是简洁、轻量级、可扩大、跨平台和无状态，由于JWT本身包括了用户信息，服务器不需要在数据库中保存会话信息。同时，JWT还可以通过添加自定义字段来扩大功能，例如支持单点登录、跨域资源共享等。