jwt介绍一:Token验证原理

背景

公司处在前后端分离的转折阶段，作为后端人员，要找到一个适用于接口验证的方式，公司仍保持后端使用Laravel框架，而laravel框架默认的是【web】方式，web 方式是使用 session 来进行用户认证，当然也是可以使用，但是有一定的不安全，经过调研，主流使用的Token验证方式。

介绍JWT

JWT资料

• 项目Wiki
• 官方指导文档

JWT：全称Json Web Token，是一种规范化的token。可以理解为对token这一技术提出的一套规范，是在RFC 7519中提出的。介绍JWT之前，先了解token的基本原理
Token认证原理概述

• 客户端发送认证信息（一般是指用户名/密码，clientid/secret），向服务器发送请求
• 服务器验证客户端请求来的认证信息，然后服务端向客户端返回一个加密的token（字符串）
• 客户端接收并将token存储（采用cookie、session都可），然后在每次请求服务器的时候都要携带这个token
• 服务器端验证token的合法性，验证通过，服务器就认为这是一个合法请求，允许进行接下来的沟通

上述的token只是一种思路，一种解决用户授权问题的思考方式，基于这个思路，针对不同场景也就衍生出很多种的实现。而JWT就是最为流行的一种。

JWT概述

在传统的实现中，服务器会保存生成的token，当客户端发送请求的时候，服务器进行对比来实现验证，但是jwt不需要在服务器存储任何token，而是使用一套加/解密算法和一个密钥来对客户端发送的token进行验证。
这样的作法同时增加了多服务器的扩展性，在传统的token验证中，客户端请求来的token，必选先找到存贮这个token的服务器是那台，然后由那一台服务器进行用户身份验证。而JWT的存在，只需要每一台服务器都知道解密密钥，那么每一台服务器都有验证用户身份的能力。

写在最后

用过laravel的都清楚laravel推出了自己的用户认证模块“Passport”，要使用吗
我个人觉着这个层次太高，是一个很大的抽象层，被设计成一个完全成熟的OAuth2服务来用，目标专一。而jwt设计更倾向于，是一个简单的用户认证方式。当然功能也是十分强大的。假如真有OAuth相关的需求，需要一台支持OAuth的服务器，那么可以使用passport。

jwt-auth介绍二：Token组成方式

【前程栽树，后人乘凉】
JWT超详细分析
JWT-Auth了解