JWT可以与移动应用程序一起工作吗？JWT是会话的替代品吗？

关于JWT（json web令牌）的一些问题：

它能和手机一起工作吗

在我看来，它适用于移动设备，但它是一个很好的身份验证解决方案吗？如果不是，还有什么其他解决方案可以用于移动应用程序和服务器之间的身份验证

它是会话的替代品吗

在一般情况下，会话将存储一些敏感数据，但它不能在jwt中这样做（不能在jwt有效负载中存储敏感数据，因为它是不安全的）

在我看来，敏感数据只能存储在其他地方，比如redis。但这样想，jwt和session的区别是什么？

---

我现在很困惑。

首先，您不应该将任何敏感数据放入JWT负载。JWT是一种用于安全交换声明信息的访问令牌格式，主要用于授权，基于HMAC或使用RSA的公钥/私钥对。JWT还用于信息交换，以安全地传输信息

它能和手机一起工作吗？ 在我看来，它适用于移动设备，但这是一个很好的身份验证解决方案吗？如果没有，还有哪些解决方案可用于移动应用程序和服务器之间的身份验证

你说得对。它适用于所有类型的移动应用程序（原生、html5、混合）。另一种选择是OAuth。但请记住，JWT仅定义可用于授权的访问令牌

它是会话的替代品吗

我想你指的是会话存储/cookies？那么JWT就不是替代品了

在一般情况下，会话将存储一些敏感数据，但它不能在jwt中这样做（不能在jwt有效负载中存储敏感数据，因为它是不安全的）

正如我已经写过的，您可以通过JWT加密负载和交换敏感数据

在我看来，敏感数据只能存储在其他地方，比如redis。但这样想，jwt和session的区别是什么？我现在很困惑

---

它们是两种不同的东西。Redis和sessionStorage/Cookie是用于存储（用户/会话相关）数据的数据结构。JWT是一种身份验证机制。

JWT也可以基于RSA，而不仅仅是用于身份验证，