【SpringBoot】44、SpringBoot中整合JWT实现Token验证（整合篇）_springboot集成jsonwebtoken

什么是JWT？

Json web token (JWT)，是为了在网络应用环境间传递声明而执行的一种基于 JSON 的开放标准（(RFC 7519)，该 token 被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT 的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

为什么需要JWT?

当我们开发前后端分离项目时，要求我们对用户会话状态要进行一个无状态处理，那我们知道普通的web项目用于管理用户会话的往往是 session，用户每次用服务器认证成功后，服务器都会发送一个 sessionid 给用户，session 是保存在服务端的，服务器通过 session 分辨用户，进行权限认证等一系列操作。每次请求完后，都会在 响应头中返回 sessionid 给浏览器，浏览器会将 sessionid 存储在 cookie 中，以后的每次请求都会在请求头中带上这个 sessionid 信息，服务器就会根据这个 sessionid 作为索引获取到具体的 session。

那上面讲述的场景就会出现一个痛点，当我们前后端分离后，我们的前端项目和后端项目分开部署，甚至会用到 nginx 来代理转发，也就是说前后端分离在应用解耦后增加了部署的复杂性。通常用户一次请求就要转发多次。如果用 session 每次携带 sessionid 到服务器，服务器还要查询用户信息。同时如果用户很多。这些信息存储在服务器内存中，给服务器增加负担。还有就是 CSRF（跨站伪造请求攻击）