jsonwebtoken：什么是有效载荷

Question

我想使用 json 网络令牌来验证用户，我即将使用 jwt.sign 方法，但根据维基百科有效负载定义（在计算中），“有效负载”术语让我感到困惑：

在计算和电信中，有效负载是传输数据的一部分，即实际预期的消息。发送标头和元数据仅用于启用有效负载传递。[1][2]

但根据中码

    const jwt = require('jsonwebtoken');
app.post('/api/authenticate', function(req, res) {
  const { email, password } = req.body;
  User.findOne({ email }, function(err, user) {
    if (err) {
      console.error(err);
      res.status(500)
        .json({
        error: 'Internal error please try again'
      });
    } else if (!user) {
      res.status(401)
        .json({
         error: 'Incorrect email or password'
        });
    } else {
      user.isCorrectPassword(password, function(err, same) {
        if (err) {
          res.status(500)
            .json({
              error: 'Internal error please try again'
          });
        } else if (!same) {
          res.status(401)
            .json({
              error: 'Incorrect email or password'
          });
        } else {
          // Issue token
          const payload = { email };
          const token = jwt.sign(payload, secret, {
            expiresIn: '1h'
          });
          res.cookie('token', token, { httpOnly: true })
            .sendStatus(200);
        }
      });
    }
  });
});

payload 是用户提供的用于身份验证的电子邮件，这让我很困惑，如果有人解释什么是有效载荷以及 jwt.sign() 中有效载荷的作用是什么，我会很高兴

Answer 1

在 JSON Web Tokens 中，有效负载是您希望包含在生成的令牌中的一组字段；例如，您的 API 需要为特定用户获取正确数据。

它只是一个简单的 JSON 对象，通常用于包含用户标识详细信息，例如用户 ID、帐户 ID 或电子邮件地址。但是，它也可以包含您可能需要的任意数据，例如用户的全名、语言偏好等。

示例负载可能如下所示，假设这些是您的 API 所依赖的字段以获取有关令牌所属的用户/帐户的详细信息。请注意，这将被视为相当大的有效载荷；大多数有效负载只有一个用户 ID 字段，因为这通常是端点正确识别用户所需的全部内容。

{
  user_id: 303,
  account_id: 909,
  email: 'joe@example.com',
  full_name: 'Joe Blow',
  default_language: 'en_US'
}

警告：负载是未加密的，因此请确保您没有在其中存储密码、密钥、信用卡号、银行账户余额等内容.只应存储标识符，如您在 URL 中看到的 ID 或公钥。

此外，有效负载会影响令牌的总长度（更多数据意味着更长的令牌），因此您只想包含最重要的数据片段。否则，您将在每个请求上发送一个非常大的令牌，这会消耗带宽，并且理论上会占用更多的服务器资源来解码。

最后，JWT 是无状态的，这意味着它们不是会话。所以不要包含任何频繁变化的数据，例如游戏分数、上次登录等。