什麼是JWT?

  • JSON Web Token 的縮寫
  • JWT is just for Authorization not for Authentication

先來區分 Authorization 和 Authentication

Authorization: 在登錄期間,確保為同一使用者 (e.g. session ID in cookie)

Authentication: 認證你的帳密是正確的 (登錄當下)

  • JWT 是用來取代 session ID 的位置的

JWT 和 Session ID 最主要的區別是 JWT 不會被儲存在 Server, Server 只負責驗證傳來的 JWT

JWT 優點

  • 因為 Server 不必儲存 JWT 所以一組 client 的 JWT 可以在多個不同的 Server 使用

References

[1] Web Dev Simplified (2019). What Is JWT and Why Should You Use JWT