### 核心思想 * jwt 根本上来讲，就是 自携带用户可见信息 以及 所携带信息不可篡改。 * jwt 的 有效期 是决定它是否失效的根本性属性，因而，原则上不能颁发一个永久有效的jwt。 * jwt 对应业务上的无痛刷新逻辑由 refresh\_token 实现，refresh\_token 只用于 刷新 jwt ，本身无权限验证等效果。 * refresh\_token 在 设置为 无有效期 限制时，需要由服务端控制存活状态，此时 jwt + refresh\_token 逻辑上接近 传统 token 的使用。 ### 概述： * Apiex jwt 版 是对 Apiex 的接口安全升级，比起 apiex 中只传输一个 简单的验证用字符串 作为验签标志，jwt 生成的token字符串更具安全性。 * 兼容 fastadmin 原有的传统token验证。 * 加入 fastadmin 针对前端用户设置的api访问权限管理（这一点让jwt失去了分布式的灵活性，因为这样的请求必须进行服务器查询数据库鉴权）。 ### 基础信息 * 本版本的Apiex是基于fastadmin 1.0.0.20200506\_beta 版本开发。 * 本文档在 Apiex 2.0.0 基础上，去除 authSign 自定义签名验证设置方法，改为 jwt 验签逻辑。 * jwt版开发目的：用更具安全性的 jwt 数据权限验证逻辑 完善 apiex 插件本身存在的接口安全性较低的问题。 * apiex 看云文档：https://www.kancloud.cn/index123456/apiex\_api/1341450 * apiex jwt 版本库：[https://gitee.com/index103000/fastadmin\_addons\_apiex\_jwt](https://gitee.com/index103000/fastadmin_addons_apiex_jwt)