authentication - 我需要在哪里使用 JWT？

Question

structure and protocol除了，我想知道 JWT 在哪里适合客户端/服务器通信？

它是用来替换身份验证和 session cookie 的吗？

这是为了减轻服务器在数据库或内存中存储 session token 的负担吗？

客户是否需要确保他们从预期的服务器接收数据，如果这不是问题，我就不需要 JWT？

当连接是 HTTPS/SSL 时，服务器到服务器的通信是否有必要或良好的做法？

Answer 1

JWT 究竟是什么？
它是一个只有服务器才能生成的 token ，并且可以包含数据的有效载荷。
这有什么意义？
JWT 负载可以包含用户 ID 之类的内容，以便当客户端向您发送 JWT 时，您可以 确保它是您发出的 ，您可以 看看它是发给谁的。
它可以在哪里有用？
通常，在 RESTful APIs,服务器不得使用任何类型的 session 。
它与使用 session 有何不同？

在典型的 session 流中，浏览器发送一个包含 token 的 cookie , 即 然后在服务器匹配 服务器使用的一些数据 来验证用户。

在 JWT 流程中， token 本身包含数据。 服务器 解码 token 以仅对用户进行身份验证。 没有数据存储在服务器上。

使用 JWT 的典型身份验证流程是什么？

用户凭据发送至 /signin

/signin返回 JWT

JWT 存储在 localStorage

JWT 在每个请求上发送(到 API？)

服务器解密 JWT 并从中提取用户 ID

给定经过身份验证的用户，服务器发送响应。