JWT（JSON Web Token）是一种基于JSON的开放标准，用于在各方之间安全地传输信息。它通常被用于Web应用中的用户身份验证和授权。
JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。
头部（Header） ：包含算法和令牌类型信息。
载荷（Payload） ：包含用户数据和元数据。
签名（Signature） ：基于头部和载荷计算得出，用于验证请求是否合法

头部和载荷需要经过Base64编码。
头部格式为 typ = "JWT" 和 alg = "HS256" 等。
载荷通常包含用户ID、角色等信息。

计算签名：
将编码后的头部和载荷用点（.）连接起来形成一个字符串。
使用指定的密钥对这个字符串进行签名，得到签名部分。

JWT广泛应用于以下场景：
跨域身份验证：由于其去中心化的特性，JWT可以用于客户端和服务器之间的身份验证，而不需要在服务端保留用户的认证信息或会话信息。
单点登录（SSO） ：适用于分布式站点的单点登录场景，通过JWT传递用户身份信息以获取资源。
权限管理：在API接口中添加JWT认证，确保只有持有有效JWT的请求才能访问受保护的资源

服务器端收到带有JWT的请求后，进行如下验证：
解析头部和载荷：
使用Base64解码将JWT分为头部、载荷和签名三部分。

验证签名：
使用与生成JWT时相同的算法和密钥验证签名的有效性。

如果签名验证失败，则拒绝请求

SpringBoot中，可以通过配置文件指定密钥，并使用相应的库（如jjwt）来生成和解析JWT



JWT（JSON Web Token）是一种用于身份验证和授权的开放标准，其安全性依赖于密钥的管理。 

保护签名秘钥：
签名秘钥是JWT的核心，必须严格保密，避免泄露。
秘钥应存储在安全的位置，如Redis或MySQL数据库中，并确保只有授权人员可以访问。


使用强算法和长密钥：
建议使用SHA256等强加密算法，并确保密钥长度超过256位，以提高安全性。
密钥应该复杂且难以猜测，以防止被轻易破解。


定期更新密钥：
定期更换签名密钥可以有效降低因密钥泄露带来的风险。
可以设置自动更新机制，确保密钥在一定时间后自动更换。


双因素认证：
为了进一步增强安全性，建议将JWT与其他安全机制结合使用，例如二次验证。

避免在JWT中嵌入敏感信息：
不要在JWT中包含敏感信息，如密码或用户数据，因为这些信息可能会被攻击者获取。


使用HTTPS传输：
在传输过程中，确保使用HTTPS来保护通信，防止令牌在传输过程中被截获或篡改。



 springboot中使用 JWT