什么是JWT

Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（(RFC 7519).该token被设计为紧凑且安全的，特别适用于分布式站点的单点登录（SSO）场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息，以便于从资源服务器获取资源，也可以增加一些额外的其它业务逻辑所必须的声明信息，该token也可直接被用于认证，也可被加密。

简要的说明下我们为什么要用JWT，因为我们要实现完全的前后端分离，所以不可能使用session，cookie的方式进行鉴权，所以JWT就被派上了用场，可以通过一个加密密钥来进行前后端的鉴权。

程序逻辑:

我们POST用户名与密码到/login进行登入，如果成功返回一个加密token，失败的话直接返回401错误。
之后用户访问每一个需要权限的网址请求必须在header中添加Authorization字段，例如Authorization: token，token为密钥。
后台会进行token的校验，如果不通过直接返回401

登录实现

• 代码

https://gitee.com/bseaworkspace/springboot2all/tree/master/SpringBootShiroJWT

• 流程图

• 测试结果
  

登录成功以后，请求资源token验证过程

• 测试