JWT 和 Bearer Token 有什么区别？

简短回答

JWT 是一种便捷的方式来编码和验证声明。

承载令牌只是一个字符串，可能是任意的，用于授权。

背景（故事时间）

几年前，在 JWT 革命之前，

<token>

2pWS6RQmdZpE0TQ93X

和验证（通过签名）他们自己的声明。这允许人们发布无状态的短期 JWT（阅读：独立的，不依赖于任何其他人）。他们不需要点击数据库。这减少了数据库负载并简化了应用程序架构，因为只有发出 JWT 的服务才需要担心访问数据库/持久层（您可能遇到过的refresh_token）。

JWT 可以用于很多事情，其中包括不记名令牌，即您可以向某些服务提供的一条信息，凭借您拥有的信息（您是“不记名者”），您可以访问某些内容。

承载令牌可以通过不同的方式包含在 HTTP 请求中，其中之一（可能是首选）是授权标头。但您也可以将其放入请求参数、cookie 或请求正文中。这主要是在您和您尝试访问的服务器之间。

AFAIK bearer 只是令牌的一个更通用的术语，因为在下面的 RFC7523 中它也经常被称为 JWT Bearer Token。然而，与“普通”承载令牌相比，JWT 确实在解码 JSON 格式时还保存信息（有关发行者、创建日期……），顾名思义。请注意，任何人都可以解码此参数，因此不应包含敏感数据，除非加密。 JWT 只是确保令牌内发送的数据不会被操纵，因为签名由

组成，秘密可以是密码或公钥/私钥对。对于使用私钥签名的令牌，它还可以验证 JWT 的发送者是否是其所说的人。 JWT 的有效负载大小不应超过大约。 8kB，因为某些浏览器不接受此大小的令牌。有关 JWT 的更多信息，您可以查找

JWT.io

我从 RFC 中收集到的一些其他信息证实了我的假设，这里的内容非常有趣： Clients using the URI Query Parameter method SHOULD also send a Cache-Control header containing the "no-store" option. Server success (2XX status) responses to these requests SHOULD contain a Cache-Control header with the "private" option. Because of the security weaknesses associated with the URI method (see Section 5), including the high likelihood that the URL containing the access token will be logged, it SHOULD NOT be used unless it is impossible to transport the access token in the "Authorization" request header field or the HTTP request entity-body. Resource servers MAY support this method. https://www.rfc-editor.org/rfc/rfc6750#section-2.3 Bearer Token A security token with the property that any party in possession of the token (a "bearer") can use the token in any way that any other party in possession of it can. Using a bearer token does not require a bearer to prove possession of cryptographic key material (proof-of-possession). https://www.rfc-editor.org/rfc/rfc6750#section-1.2

承载令牌只是一个字符串，可能是任意的，用于授权。

另请阅读以下问题：