身份认证才是jwt最核心的内容,用户信息放在jwt内,一般不会把整个的用户信息放在jwt里面,大部分放的都是一些非敏感的数据,例如用户名和密码是敏感的,那么我把userid给你,这是非敏感的数据, jwt加密,是需要盐的。有盐的加密更可靠更安全,这个时候盐就类似于我们的密码本。 到了服务端,拿到jwt后,解析出来盐,然后拿着盐 ,做反解密,解密出来的就是你原始的内容。
http://www.imooc.com/article/42967