webtoken,web token机制

Token是服务端生成的一串字符串，以作客户端进行请求的一个令牌，当第一次登录后，服务器生成一个Token便将此Token返回给客户端，以后客户端只需带上这个Token前来请求数据即可，无需再次带上用户名和密码Json web token JWT，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准RFC。

ISTIO的来源身份验证通过ENVOY完成，看一下envoy官方文档对JWT的说明可以知道，istio会对token的 signature audiences issuer 三个属性进行校验，也会对有效期进行检查，而且只支持ES256和RS256两种算法，因此我们需要保证我们的token生成中这三项属性的规范性。

passport只是一个用来验证的库，而jwt是一种规范jwt并不是仅仅可以在passport中使用，jwt可以以任意一种语言来实现，如java等，可以搭配其他的nodejs库来使用比方说everyauth 而passport也可以搭配其它的验证策略比方说OpenID，OAuth2等。

JWT全称“JSON Web Token”，是基于JSON的用户身份认证的令牌可跨域身份认证，所以JWT很适合做分布式的鉴权，单点登录SingleSign，SSOjwt有三部分组成用符号quotquot隔开，HEADERtoken头，描述token是什么类型，加密方式是什么，把json内容转为base64 PAYLOAD内容，是暴露出来的信息，不可存敏感信息。

然鹅，在springcloud中，各个微服务直接暴露的是restful接口，此时如何让各个微服务获取到当前用户信息呢最佳的方式就是token了，token作为BS之间的会话标识一般是原生随机token，同时也可以作为信息的载体传递一些自定义信息jwt， 即Json web token为了能更清楚的了解本文，需要对springsecurity。

JWTJsonWebToken，刷新令牌存在的意义是当客户端异常时，也只会在访问令牌过期时间内异常，换取新的访问令牌时，服务端可以介入重新验证客户端身份，它不是解决了安全问题，而是降低了安全风险客户端和服务端的交互通常是这样的1 用户输入用户名和密码，调登录 API， 返回访问令牌access_token。