JWTJSON Web Token,开放标准安全传输JSON 身份信息特点自包含、跨域支持、标准化JWT 结构Header Payload SignatureHeader: 签名算法Token 类型 {‘alg’:‘HSA56’,‘type’:‘jwt’}Payload: 用户信息元数据无敏感信息Signature: 防篡改密钥加密验证注意Payload 仅base64 编码不能存敏感信息。Token 生成三步完成构建payload最小化原则设置选项过期时间、签发者调用jwt.sign() 生成Token(密钥核心)Token 验证认证中间件逻辑从Authorization 头取Token调用jwt.verify验证签名/有效性用户信息放到请求对象req调用next()放行请求错误处理令牌无效/过期- 401JWT 安全使用密钥管理安全存储Token 存储有限httpOnly cookie传输强制https,防止中间人攻击