JWT,英文全寫為(JSON Web Token) 是近年在網頁應用中常見的驗證用戶身份的一種方式。你可以想像JWT就像一本數位通行証或護照。
有興趣看JWT (JSON Web Token) 簡介的影片版本的可以觀看以下視頻:
JWT典型使用流程
- 登入: 用戶登入時輸入用戶名和帳號
- 伺服器驗證: 您的伺服器檢查用戶名和帳號是否有效,有效的話叫登入成功。
- 登入成功後,伺服器會建立一個包含用戶信息(例如,用戶名、角色)的 JWT。
- 伺服器將 JWT 發回用戶的瀏覽器 (通常在 cookie 中)。
- 授權: 用戶的瀏覽器在每次向應用程式發出請求時,都會連帶JWT通行証一併發送
- 伺服器收到請求和JWT時,就會驗證JWT的真偽(使用祕密金鑰),並提取用戶信息
- 伺服器收驗証JWT是真的話,就會容許用戶執行該用戶被容許的操作
關於JWT的關鍵認知
- JWT 本身並不加密數據。
- JWT Secret主要用來驗證用戶身份(那個jwt token的宜偽)
- JWT 也可以用來作為使用API的驗証Token
本文作者 : 梁浩賢 - 資深網站軟件工程師