返回首页
安全与权限JSON Web Token

JWT

登录成功后服务器发给你的一张加密通行证。之后每次请求都带着它,服务器一看就知道你是谁。

做什么会用到

  • 01做前后端分离的 SaaS / App:JWT 是主流方案,前端存 token,每次请求带上
  • 02做 AI 对话 App / 移动 App:JWT 比传统 Session 更方便跨域、跨设备
  • 03做需要单点登录(SSO)的多个子产品:一张 JWT 通行所有子系统
  • 04JWT 泄漏了就是身份被盗:尽量短期(1-7 天)+ 配 refresh token,别存 localStorage(容易被 XSS 偷)

想用它怎么问 AI

我用【Next.js / Node】做登录,想用 JWT。请告诉我 token 该存在哪里(cookie / localStorage)、多久过期、怎么做 refresh token、怎么防 XSS 和 CSRF。

打个比方

像一张临时通行证,拿着它就能证明你已经登录过。

相关词

登录Session鉴权