用户登录成功以后可以给用户签发一个令牌，下面他再使用服务端应用的时候就可以带着这个令牌，这样服务端就知道他是谁了。因为我们要实现基于 JWT 的身份验证，所以给用户签发的就是一个 JWT 类型的令牌，制造这种令牌要严格按照一套规定的流程。

JWT 令牌由三个部分组成，Header（头部），Payload（数据），Signature（签名）。这些数据都会经过 Base64 这种方法编码，所以最终你看到的就是一堆字符。在令牌的 Header 里可以说明一下这个令牌用的加密算法，令牌的类型等等。在令牌的 Payload 里面可以说明一下令牌的签发时间，有效期，也可以加上一些自定义的数据，比如用户的 ID ，名字之类的。

令牌的 Signature 是根据令牌的 Header 还有 Payload 数据，然后用一种特定的加密算法制造出来的。签名可以防止别人伪造令牌，因为在签名的时候我们会使用一个密钥，这个密钥只有我们自己知道，没有这个密钥就没有办法给令牌签名。因为令牌有这个签名不能伪造的特性，所以一但我们验证了令牌的真实有效性以后，就可以信任令牌里的数据了。