JWT 认证是如何工作的

JWT（JSON Web Token）认证让服务器签发签名令牌，客户端在后续请求中携带该令牌。服务器通过验证签名确认身份，无需在服务端存储会话状态，实现可扩展的无状态认证。

JWT 的三部分结构

JWT 由 Header（算法与类型）、Payload（用户 ID、过期时间等声明）和 Signature（对 header+payload+密钥的加密哈希）组成，三部分均经 Base64URL 编码后用点号连接。

认证流程

1. 用户提交凭证登录；2. 服务器验证后返回 JWT；3. 客户端保存并在 Authorization 头中发送；4. 服务器验证签名并读取声明，基本校验无需查库。

开发调试可使用 WaiHub JWT 解码器查看令牌内容，切勿将生产 Token 粘贴到不可信网站。