登录系统时,服务器怎么"记住"你已经登录了?这个看似简单的问题,背后是一整套身份认证的演进史。传统做法是 Session:服务器把登录状态存在自己的内存或数据库里,发给浏览器一个 Session ID。但这种方式在多服务器、跨域、移动端场景下越来越吃力。JWT(JSON Web Token)就是为解决这些问题流行起来的方案。 这篇把 JWT 从背景到结构、从原理到实战、从使用到安全坑都讲透。文章里嵌了一个可交互的解码器,你可以随时粘贴一个真实的 token 进去,亲眼看它被拆成三段——这比看十遍文字描述都直观。 ## 一、为什么会有 JWT:从 Session 说起 要理解 JWT 解决…