JWT 认证系统
JSON Web Token (JWT) 是我们应用中实现 无状态身份认证 的核心技术。本文档将深入解析我们 JWT 系统的设计、工作流程、安全特性以及如何在应用中使用它。
我们的系统主要由两部分构成:
- Token 生成: 在用户成功登录后,为其签发一个有时效性的、包含用户身份信息的 JWT。
- Token 验证: 在每个受保护的 API 请求中,验证其携带的 JWT 是否合法有效,并从中解析出用户信息。
2024/10/30大约 5 分钟
JSON Web Token (JWT) 是我们应用中实现 无状态身份认证 的核心技术。本文档将深入解析我们 JWT 系统的设计、工作流程、安全特性以及如何在应用中使用它。
我们的系统主要由两部分构成:
在我们的应用中,仅仅验证用户是谁(身份认证 Authentication)是不够的,我们还需要确定该用户 被允许做什么(授权 Authorization)。这套授权机制是通过一个经典的 基于角色的访问控制(RBAC - Role-Based Access Control) 系统来实现的。