JWT（JSON Web Token） 是一种开放标准（RFC 7519），用于在网络应用间安全传输信息，通常用于身份验证和信息交换。其核心特点是通过紧凑且自包含的 JSON 对象传递数据，无需服务端存储会话状态。1.为什么需要JWT？开发中需要 JWT 的主要原因是为了解决传统基于 Session 的身份验证方法中存在的问题，比如跨域认证不便、扩展性差等问题。而 JWT 允许我们设计无状态的、分布式的 Web 应用，通过在每个请求中传递 Token 来验证用户身份，从而实现更加灵活和可扩展的架构。2.执行流程JWT 执行流程如下：它的主要执行流程如下：用户登录成功后，服务器根据用户信息生成一个 JWT 的 Token 令牌。服务器将此 Token 返回给客户端，客户端通常存储在 Cookie 或 LocalStorage 中。之后客户端在访问服务器端时会携带这个 Token，一般放在 HTTP 头中。服务器接收到请求后，解析 JWT，验证其签名有效性以及是否过期。如果验证成功，则处理相应的请求；否则，返回错误信息（重新登录）。3.JWT组成JWT 是由三部分组成的：Header（头部）：通常由以下两部分组成：Token 类型：通常是 JWT。加密算法：例如 HS256（HMAC SHA-256）、RS256（RSA SHA-256）等。Payload（载荷） ：JWT 的主体部分，通常为以下三类：标准声明（Registered Claims）：预定义的字段，如 iss（发行者）、exp （过期时间）、sub（主题）等。公共声明（Public Claims）：用户自定义的字段，例如用户 ID、用户名、角色等。私有声明（Private Claims）：在特定场景下使用的字段，通常用于内部系统。Signature（签名）：用于验证 Token 的完整性和防止篡改。它们之间用点“.”分隔，形成一个字符串（Token）。4.JWT核心实现代码在 Spring Boot 项目中，首先要引入 JWT 工具依赖，之后通过以下核心代码可以生成 Token，以及验证 Token：// 生成 JWT（示例）|SECRET_KEY 为服务保存的密钥。public String generateToken(UserDetails user) {    return Jwts.builder()        .setSubject(user.getUsername())        .setExpiration(new Date(System.currentTimeMillis() + 3600 * 1000))        .signWith(SignatureAlgorithm.HS256, SECRET_KEY)        .compact();}// 验证 JWT（示例）public boolean validateToken(String token) {    try {        Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token);        return true;    } catch (Exception e) {        return false;    }}注意事项密钥安全：签名密钥需妥善保管，并定期修改，避免泄露。无状态性：JWT 无需服务端存储会话信息，适合分布式系统。5.JWT VS SessionJWT 和 Session 主要区别如下：存储位置不同：Session 通常将用户会话信息存储在服务器端，而 JWT 则将信息存储在客户端。状态管理不同：Session 是基于服务端的状态机制，需要服务器保存会话状态；JWT 是无状态的，所有的信息都包含在 Token 中，服务端无需保存任何状态。隐私性不同：由于 JWT 的信息直接暴露给用户，因此敏感信息不应该存储在 JWT 中。Session 因为只在服务端维护，隐私性相对更好一些。扩展性和性能不同：JWT 非常适合分布式系统，因为它不依赖于服务端的状态。对于大型分布式系统，JWT 可以显著减少服务器资源的消耗，提高系统的响应速度。6.JWT存在的问题尽管 JWT 有很多优点，但也存在一些挑战：大小限制：由于 JWT 是以 HTTP 头部的形式发送的，所以它的大小受到限制。如果 JWT 中包含过多的数据，可能会导致请求头过长的问题。解决办法是尽量保持 JWT 简洁，仅包含必要的信息。令牌撤销问题：一旦 JWT 被签发，除非过期，否则无法轻易撤销。安全性考虑：虽然 JWT 本身支持签名和加密，但如果密钥泄露，将会导致严重的安全隐患。因此，确保密钥的安全管理和定期更新是非常重要的。小结JWT 提供了一种有效的方法来处理用户身份验证和信息交换的问题，也是目前主流的用户登录验证机制，但同时也需要注意上述提到的一些潜在风险和限制，它更适用于分布式大型项目的用户信息传输和登录权限判断。