Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519)，该token被设计为紧凑且安全的， 特别适用于分布式站点的单点登录（SSO）场景。
JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息， 以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

1、JWT描述

Jwt token由Header、Payload、Signature三部分组成，这三部分之间以小数点”.”连接，JWT token长这样：

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.keH6T3x1z7mmhKL1T3r9sQdAxxdzB6siemGMr_6ZOwU

token解析后长这样：

header部分，有令牌的类型(JWT)和签名算法名称(HS256)：
{
  "alg": "HS256",
  "typ": "JWT"
}
Payload部分，有效负载，这部分可以放任何你想放的数据：
{
  "sub": "1234567890",
  "name": "John Doe",
  "iat": 1516239022
}
Signature签名部分，由于这部分是使用header和payload部分计算的，所以还可以以此来验证payload部分有没有被篡改：
HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
123456             //这里是密钥，只要够复杂，一般不会被破解
)

2、JWT适用场景描述

JWT最常见的使用场景为授权。一旦用户登录，随后的每个请求都将包含jwt的token令牌，才可允许用户访问路由API、服务、资源。比如单点登录场景，因为它的开销很小，而且可以很容易地跨不同领域使用。所以jwt也适用于客户端存储用户状态信息。

3、安全漏洞方面

虽然在安全漏洞方面，JWT官网给出了警告：JSON Web令牌库中具有非对称密钥的关键漏洞。但是官网给出的对称型加密算法解决方案已经足够满足于通常情况下的客户端用户状态的存储。