如何运用JWT机制实现认证？

1. 登录

第一次认证：第一次登录，用户从浏览器输入用户名/密码，提交后到服务器的登录处理的Action层（Login Action）；

Login Action调用认证服务进行用户名密码认证，如果认证通过，Login Action层调用用户信息服务获取用户信息（包括完整的用户信息及对应权限信息）；

返回用户信息后，Login Action从配置文件中获取Token签名生成的秘钥信息，进行Token的生成；

生成Token的过程中可以调用第三方的JWT Lib生成签名后的JWT数据；

完成JWT数据签名后，将其设置到COOKIE对象中，并重定向到首页，完成登录过程；

1. 请求认证

基于Token的认证机制会在每一次请求中都带上完成签名的Token信息，这个Token信息可能在COOKIE中，也可能在HTTP的Authorization头中；

客户端（APP客户端或浏览器）通过GET或POST请求访问资源（页面或调用API）；

认证服务作为一个Middleware HOOK 对请求进行拦截，首先在cookie中查找Token信息，如果没有找到，则在HTTP Authorization Head中查找；

如果找到Token信息，则根据配置文件中的签名加密秘钥，调用JWT Lib对Token信息进行解密和解码；

完成解码并验证签名通过后，对Token中的exp、nbf、aud等信息进行验证；

全部通过后，根据获取的用户的角色权限信息，进行对请求的资源的权限逻辑判断；

如果权限逻辑判断通过则通过Response对象返回；否则则返回HTTP 401；