express session JWT JSON Web Token

了解 Session 认证的局限性

Session 认证机制需要配合 cookie 才能实现。由于 Cookie 默认不支持跨域访问，所以，当涉及到前端跨域请求后端接口的时候，需要做很多额外的配置，才能实现跨域 Session 认证。
注意：
当前端请求后端接口不存在跨域问题的时候，推荐使用 Session 身份认证机制
当前端需要跨域请求后端接口的时候，不推荐使用 Session 身份认证机制，推荐使用JWT 认证机制

什么是JWT

JWT(英文全称:JSON Web Token) 是目前最流行的跨域认证解决方案。

总结:用户的信息通过 Token 字符用的形式，保存在客户端浏览器中。服务器通过还原 Token 字符用的形式来认证用户的身份。

JWT组成

JWT 通常由三部分组成，分别是 Header (头部)、Payload (有效荷载)、Signature (签名)三者之间使用英文的“.”分隔，格式如下:
JWT 的三个组成部分，从前到后分别是 Header、Payload、Signature。其中:
Payload 部分才是真正的用户信息，它是用户信息经过加密之后生成的字符串。
Header和 Signature 是安全性相关的部分，只是为了保证 Token 的安全性

JWT的使用方式

客户端收到服务器返回的JWT 之后，通常会将它储存在 localStorage 或 sessionStorage 中此后，客户端每次与服务器通信，都要带上这个JWT 的字符串，从而进行身份认证。推荐的做法是把**JWT 放在 HTTP请求头的 Authorization 字段中**格式如下: