前言

看客们对于JWT，我估计大部分都是很熟悉的了。 但是不乏也存在初学者刚接触JWT，那么咱们走个流程，我先简单的在前言里介绍下JWT，因为该篇文章目的不是做JWT的使用介绍。

简单了解JWT

简单来讲，可以把JWT当作是一个写好的生成token令牌（字符串）的方法，使用JWT，就会生成 一个token 字符串。

说白了，就是一个签名的生成规则算法。

JWT生成的token示例：

eyJhbGciOiJIUzUxMiJ9.eyJ1c2VySWQiOiIxMDAxIiwiaXNzIjoiSkNjY2MiLCJpYXQiOjE2MDU2Nzg0MTd9.5f8JwZoi1okX1mEmWDOt6YsZXrxtle52PsjZ92F2I0KBlOG3XRtoL9Tfx0TjQGdwbHzYhV_uz7aNDF0E_I1FPw

咋一看感觉，很长很乱，加密得非常复杂。

那么我们加点颜色再看看：

没错，每一段不同颜色的字符串之间 可以看到，使用了符号 ’ . ‘  进行了拼接。  一共三段字符串分别是 header 、payload、signature，组成了 所谓的 token令牌。

header  :  存储着该令牌使用的加密算法标识信息  

payload  ：存储着 我们放进令牌里面的数据信息

signature ：签名

最后再简单看一张图：

大家从图中可以看到我们很熟悉的   base64   ， 大家明白 base64 不是一种加密算法， 而仅是一种编码转换方式而已。

也就是说，header 和 payload 这两部分 是可以随意解码的。

就以目前这个token令牌字符串来看，我们解码看看：

ps： 所以到这你能明白所谓的token为什么我说当作一个签名的生成的规则算法看待就行了。

正文

前面介绍太啰嗦了，该篇其实并不是个JWT使用普及文章，是想埋怨一下 注意点。

① 让 JWT-TOKEN 当场失效：

1. 账号注销/登录注销

用户在客户端登录了账号，请求授权， 拿到了 JWT-TOKEN 。

用户选择注销登录（或者账号被注销），那么讲道理其实之前的JWT-TOKEN 应该是无效的了。

2.修改密码

用户在客户端登录了账号，请求授权， 拿到了 JWT-TOKEN 。

用户修改了密码，那么讲道理其实之前的JWT-TOKEN 应该是无效的。

3.修改资源权限信息

有些情形我们会选择在JWT-TOKEN 使用自定义Claims，在Claims里面放入 role（角色），permission（权限）等数据。

用户的 role（角色），permission（权限） 一旦被修改， 那么讲道理其实之前的JWT-TOKEN 应该是无效的了。

类似上面举例的这种情形，

JWT是无法提供这种售后服务的， 没有办法直接指定某个JWT-TOKEN  ，使其当场失效。

那么也就是说，如果这个JWT-TOKEN  被人拎出来，在有效期内去使用，那么这个令牌就还是有用的。

所以对于这种场景我们的方案是：

使用  redis 去缓存 授权颁发的JWT-TOKEN ， 通过在redis 中去管理 是否删除（失效）JWT-TOKEN 。

可是这么一来，其实也就不是 所谓的无状态了。

因为原本很多人选择使用token，就是想脱离session 这种服务有状态的模式。想让前端自己保存token，后端不需要花费精力去管理。一旦加入redis，其实可以理解为又回到了原点。

只是说在一个方面上直接避免了session的一些问题。

②延长token时间、刷新token：

token快过期了或者过期了，我想刷新续签一下。让这个token 再次获得生命！

JWT只会给你一个新的token。

需要我们自己去合理选择刷新token与客户端协作的方案，无感知刷新、新旧token交替等等。