JWT 认证：原理与实战

JWT 是现代 Web 应用的主流认证方案。理解原理，安全使用。

JWT 结构

Header.Payload.Signature

Header: 算法和类型

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload: 声明信息

{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022,
  "exp": 1516242622
}

Signature: 签名验证

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret
)

工作流程

1. 用户登录，服务器验证
2. 生成 JWT 返回给客户端
3. 客户端存储（localStorage/cookie）
4. 后续请求携带 JWT
5. 服务器验证签名和有效期

代码示例

// 生成 JWT
const token = jwt.sign(
  { userId: user.id, role: user.role },
  process.env.JWT_SECRET,
  { expiresIn: "2h" }
);

// 验证 JWT
const decoded = jwt.verify(token, process.env.JWT_SECRET);

安全最佳实践

✅ 应该做的

• 使用强密钥（32+ 字符）
• 设置合理过期时间
• HTTPS 传输
• 敏感信息不放 Payload
• 实现刷新令牌机制

❌ 避免的

• JWT 存 localStorage（XSS 风险）
• 过期时间过长
• 密钥硬编码
• 存储敏感数据
• 不验证签名

刷新令牌策略

// Access Token: 短期（15 分钟）
// Refresh Token: 长期（7 天），存数据库

// 过期时用 Refresh Token 换取新 Access Token

登出方案

JWT 无状态，登出需特殊处理：

• 黑名单机制
• 短过期时间
• 客户端删除令牌

JWT 方便但需谨慎使用，安全永远是第一位。