一聊 token,这几个词很容易搅在一起:
先把边界立住,后面就不容易乱。
JWT 这个词,工程里经常同时指两类东西:
大多数业务系统里的 access token,走的是 JWS。payload 能看到,服务端靠签名判断内容有没有被改过。
JWE 走的是另一条路。payload 看不到,服务端要先解密,拿到明文后再继续处理。
refresh token 通常又是第三种东西。它很多时候既不是 JWS,也不是 JWE,而是一枚高熵随机字符串。
这 3 类东西长得都像 token,服务端处理方式差别很大。