七叔的博客

上篇，我们介绍了什么是JWT，他就是基于客户端保存，客户端请求的时候携带这个令牌，我们后端记性验证即可。这个避免了我们的Session占用、他还是间接的因为数据量很小，他还是自包含的，因为用查询数据库。

他是一个JSON形式的加密令牌，有令牌就放行，没有令牌或者令牌信息不正确就不让你通过，这个令牌是一个身份的代表。支持跨系统进行信任验证。JWT简称JSON Web Token，各方之间使用JSON形式传输信息，此信息可以进行验证和信任，因为有数字签名。JWT可以使用秘密(使用HMAC算法)或使用RSA或ECDSA的公钥/私钥对进行签名也就是通过JSON形式作为Web应用中的令牌，用于在各方之间安全地将信息作为JSON对象传输。在数据传输过程中还可以完成数据加密、签名等相关处理。

Http协议无状态，不知道哪个用户访问发送的请求，只能通过Cookie进行用户认证。访问的时候最大的问题就是希望用户做认证。这个不是长连接的，发送-响应完毕请求之后就断开了。这个时候就需要会话这套机制来解决这个问题，让服务器知道请求是哪个用户发的。Cookie就是为了个Http协议记录状态。我们在JavaWeb中，为每一个浏览器创建一个会话，也就是一套Cookie-Session。第。浏览器作为二次登录携带。通过Cookie中的SessionId找对应的Session对象。