在服务端可能需要知道当前它接待的人是谁，这样它才能决定到底要不要为这个用户提供服务。有时候服务端在做一些事情的时候需要用到当前用户相关的数据，比如一个用户请求创建新的内容，在这个内容里我们要记录一下内容的作者是谁，这就需要知道发布内容的这个用户的 ID 是什么。

用户请求登录，成功以后会给他签发一个令牌，在签发这个令牌的时候我们往里放了点数据，比如用户的 ID 还有用户名。在服务端验证了请求里带的令牌有效以后，就可以信任令牌里的数据了，因为令牌是带数字签名的，没有别人可以伪造这个数字签名。生成令牌签名的时候会用到令牌里的数据，也就是如果令牌被修改过，这个令牌的签名是不可能通过验证的。