API开发越来越成为主流，需要各自Access Token做登录状态。

甚至目前web端mvvm应用，如angular、vue、react都使用了jwt方式，也就是不再使用cookie和session作为登录状态。有很多作为这种无状态http的身份登录状态方法，原理也差不多，无非就是获得客户端的标识，把服务器的信息和客户端的交互信息在传输时附带上。

较为流行的传输身份验证码方法就是jwt，jwt只是一种约定，可选择不同的数据加密签名。

本质上只是一种“签名”而不是加密。

jwt生成的token如下：

eyJhbGciOiJIUzI1NiJ9.eyJ1aWQiOjEsImFpZCI6MSwidXNlcm5hbWUiOiJhZG1pbiIsIm1vYmlsZSI6IjEzNTI5NTEzMTA0IiwiaXAiOiIwOjA6MDowOjA6MDowOjEiLCJleHAiOjE1ODU4NDc5MTJ9.edv0BBpe_S6GDmtSp6Q7stsRrxBDesWr9MOjqcGdyR8

事实上就是把token分成三段，使用点号 " ." 分割字符串。前两段的内容就是header和payload。后面的是使用选择的加密算法生成的签名。

JWT.io 上面有各种不同语言的实现，不同的语言不同的库能解析和生成，以及附加的参数不同。但基本原理就是使用base64进行数据编码，再进行签名。而不是传输数据是直接加密的，当然你也可以选择加密的算法，但是越复杂服务器解析越慢。

因为jwt只是编码，不是一种加密，所以jwt token作为身份令牌，需要注意不要把危险的参数如密码放在token里，如果你执意要这么做，那么就需要把token放在服务器数据库或者缓存，再生产一个签名使用加密签名进行api与服务器的通信，但这实在是多此一举。

jwt本就是连接授权认证，如果每次连接还做持久化查询，那么无疑增加了性能消耗。

而传输一个身份ID其实就可以了，所以，jwt尽量简短简单即可。

选择实现库或者自己实现都可以，但是最好选择github star数量多的，这是大多数人验证过的。

传输jwt一般使用header，也可以使用get参数传值。这看服务器端与客户端的http请求库如何方便实现。

比如某些前端上传工具，就不能自定义header，那就只能使用url get参数传。服务器也要做好适当的接口规划。