1.什么是token

token的意思是“令牌”，是服務端生成的一串字符串，作為客戶端進行請求的一個標識。

token是在服務端產生的。如果前端使用用戶名和密碼向服務端發送請求認證，服務端認證成功，那么在服務端會返回token給前端。

前端可以在每次請求的時候帶上token證明自己的合法地位。如果token在服務端持久化，那他就是一個永久的身份令牌。

2.什么是jwt

jwt,即JSON Web Token的縮寫，是一個開放標準（RFC 7519），它定義了一種緊湊且獨立的方式，用于在各方之間作為JSON對象安全地傳輸信息。

jwt由三個部分組成，它們之間用.分開，通常如下所示xxxxx.yyyyy.zzzzz，

第一個部分為Header，由兩部分組成，類型和算法，例如

{ "alg": "HS256", // 算法 "typ": "JWT" // 類型}

第二個部分為Payload，用來存放實際需要傳遞的數據。JWT 規定了7個官方字段，供選用。例如：

{ iss (issuer)：簽發人 exp (expiration time)：過期時間 sub (subject)：主題 aud (audience)：受眾 nbf (Not Before)：生效時間 iat (Issued At)：簽發時間 jti (JWT ID)：編號 }

除了官方字段，你還可以在這個部分定義私有字段，下面就是一個例子。

{ "sub": "1234567890", "name": "John Doe", "admin": true}

請注意，對于token，此信息雖然可以防止被篡改，但任何人都可以讀取。除非加密，否則不要將秘密信息放在JWT的Payload或Header元素中。

第三部分為Signature，Signature 部分是對前兩部分的簽名，防止數據篡改。

首先，需要指定一個密鑰（secret）。這個密鑰只有服務器才知道，不能泄露給用戶。然后，使用 Header 里面指定的簽名算法（默認是 HMAC SHA256），按照下面的公式產生簽名。

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

算出簽名以后，把 Header、Payload、Signature 三個部分拼成一個字符串，每個部分之間用"點"（.）分隔，就可以返回給用戶。

3.使用node簽發token

首先需要下載jwt的依賴包

npm install jsonwebtoken

然后在文件中使用

var jwt = require('jsonwebtoken')const payload = {   name: 'boom'  }const secret = 'JQREAD'const token = jwt.sign(payload, secret) // 簽發console.log(token)

用 jwt.sign(payload, secret) 就可以簽發token了，然后返回給前端，前端將返回的token保存在localstorage里或sessionstorage里

4.使用node驗證token

在用戶完成登錄獲得token并保存后，此后每次請求后臺把token放在請求頭中，例如：

　　const guestToken = getStorage('token') if (guestToken) {  config.headers['X-GuestToken'] = guestToken }