jwt全称json web token，顾名思义json格式的web令牌。我用几个关键词知识点将其概括：

• json格式
• 用户信息加密到token里
• 服务器不保存任何用户信息
• 服务器只保存密钥信息
• 通过使用特定加密算法验证token
• 通过token验证用户身份信息
• 基于token的身份验证可以代替cookie，session身份验证方法
• 由三部分组成header.payload.signature

header：

header部分有两个常见的字段：[出自:jiwo.org]
alg：alg用来声明使用的是哪种加密算法：一般来说，rsa和hmac算法最为常见。在这个字段里rsa会写作rs256，而hmac通常写作hs256。
typ：声明类型为jwt。
header一般来说长这个样子：

payload:

payload中的数据一般是为用户数据和声明一些权限的数据。
如下：

signature:

signature翻译过来的意思为签名，它的功能是保护token的完整性。

生成方法：
签名=用alg中指定的加密算法将header和payload加密
signature = HMAC-SHA256(base64urlEncode(header) + '.' + base64urlEncode(payload), secret_key)

一个完整的jwt为：
header.payload.signature
其中header和payload是由base64url加密，而signature是由alg中的指定算法加密。