标签: authentication jwt
据我了解,JWT与生成有关用户的编码信息有关:
到期日期UTC
权利/角色
签名
身份和角色对于请求令牌的用户是可见的,而签名不能被用户伪造,因为他没有秘密
由于知道秘密,服务器可以因此验证用户的身份。
为什么客户端必须请求带有凭证的令牌,而不是例如每次使用凭证进行身份验证?