最近在网上和朋友聊天，发现他在数据接口中校验登录状态用的还是session，在我及时劝说和科普之后，他最终决定改用JWT，那么接下来我们就聊一聊数据接口应该怎么管理登录状态以及什么是JWT

JWT官网访问地址https://jwt.io/introduction/

前后端混合开发的场景

前后端混合开发的时候，用户登录状态的是通过session来实现的，原理很简单：用户登录后，服务端将登录用户信息存储到服务器上的指定位置，并生成对应的session id存储到浏览器的cookie中。需要校验的时候先读取cookie中的session id，找到服务器中对应的存储内容，完成校验。
大家可以明显的感知到，这个机制是建立在cookie基础上的，cookie又依赖于浏览器，而且有域名限制。是不适合app、小程序、以及前后端时数据接口采用其他域名等情况的，那么app、小程序要怎么做呢，接下来我会为大家讲解

App与小程序前后端分离的场景

app、小程序、前后端分离时的数据接口一般采用token来做登录信息校验。原理是用户登录后，服务端生成对应用户的一个token(一般都是唯一的指定位数的字符串)后返回，前端拿到token后保存，在需要校验用户登录的接口请求中加入token(可以是get、post参数的形式)，服务端拿到token校验真实性、有效性等信息后完成登录校验。一般为了防止盗用，还会设置一套签名校验的过程。

其实token和session的原理是差不多的，都是服务端将对应用户的一个key【sessionId,token】交给前端，前端通过token请求服务端，服务端拿到token再去验证合法有效性，之后反查用户，获取用户登录信息。

那么针对上述2中验证机制，一般我们的app前后端分离，或者接入第三方系统的时候往往会使用到，例如微信，微博，保利威视等接口都是通过这张方式去验证登录状态的。当然这种方式也是有缺点的，下面我们来聊一聊上述方式的不足之处：

1、服务端必须保存token，以及有效期，校验的时候必须要有数据读取的过程；
2、校验签名的时候一般需要一个secret做为加签字段，前端必须也要同时保存这个secret，这样显然不适合代码会暴露的网页前端。

下面我们来聊一聊JWT

什么是JWT

JWT是JSON Web Token的简称，有官网详细介绍，大家可以看一看，这里只是简单描述一下。
JWT其实就是一种特殊的token，原理和使用方法自然和token一样。
JWT是由三部分组成的字符串，结构是：头部+主体内容(官方称之为Payload【载荷】)+签名，三部分用“.”连接。头部和主体内容都是json格式的字符串再经过base64编码，为了方便放在get请求中，还需要把类似“=”、“/”等特殊字符替换掉。

头部内容是固定的，原始json就是下面这样{"alg": "HS256","typ": "JWT"}

中间的主体内容Payload，原始json一般是类似下面这样的{"userName": "alipeng","expTime": "2020-01-06 05:00:18"}

主体内容一个是当前登录的用户，可以是用户名称，用户的唯一id；还有一个就是过期时间expTime。当然还可以加入一些其他不私密的和系统相关的初始化信息，注意，不要在JWT的payload或header中放置敏感信息，除非它们是加密的;

下面我来聊聊签名与认证流程

，那么为了得到签名部分，你必须有编码过的header、编码过的payload、一个秘钥，签名算法是header中指定的那个，然对它们签名即可。

例如：HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

签名的主要作用是用于验证消息在传递过程中有没有被更改，并且，对于使用私钥签名的token，它还可以验证JWT的发送方是否为它所称的发送方，看下面官网给出的一张图你就明白了：

签名解析

下面是一张官网的认证图：

JWT认证流程

服务端拿到JWT之后可以在不读取数据的情况下，仅通过解码这部分信息就可以完成获取登录用户以及判断是否过期等工作，这一点就优于我们上述讲解的session的方式；

最后的签名一般是把头部、主体内容再加上secret拼接成字符串再加密，这一步在用户登录生成JWT的时候就完成了。服务端拿到JWT之后只需要把前两部分加上secret再计算一次签名加以比对就可以完成校验签名，前端不需要同时保存secret，这样也提高了安全性！

@Test   public void gen1() throws IOException {        String token ="";        SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");        //日期转字符串            Calendar calendar = Calendar.getInstance();            calendar.add(Calendar.SECOND,30 ); //特定时间的年后            Date date = calendar.getTime();        try {           Algorithm algorithm = Algorithm.HMAC256("mysecrite");            token = JWT.create()                   .withIssuer("alipeng")                    .withSubject("xiaoming")                    .withClaim("name", 123)                    .withArrayClaim("array", new Integer[]{1, 2, 3})                    .withExpiresAt(date)                   .sign(algorithm);           System.out.println("loglogagel:"+token);       } catch (UnsupportedEncodingException exception){           //UTF-8 encoding not supported       } catch (JWTCreationException exception){           //Invalid Signing configuration / Couldn't convert Claims.       }    }

最后再聊聊JWT的一些缺点

目前想到以下几点：
1、安全性：签名包含在token中，一旦token整体被盗用，将没有办法区分；

2、过期时间放在token中而不是服务端保存处理，一旦token生成并签发出去，将无法灵活的控制有效期；

当然如果您有好的意见也可以在评论区讨论，我们一起共同学习，互相成长！