JWT实现认证和授权的原理 和小程序SESSION_KEY(第三方session)

目前的H5,公众号，小程序，APP，等登录授权方式都是JWT来实现的，就是用户在登录后后端返回一个token,然后下次请求时request头会带上token，然后后端根据此token来解析用户信息，总结下就3步。

• 用户调用登录接口，登录成功后获取到JWT的token；

• 之后用户每次调用接口都在http的header中添加一个叫Authorization的头，值为JWT的token；

• 后台程序通过对Authorization头中信息的解码及数字签名校验来获取其中的用户信息，从而实现认证和授权。

但是对于小程序来说，其本身就有session,小程序的登录原理是，用户点击授权登录，发起wx.login()，微信返回code,然后通过此code和小程序的APPID和密钥等信息请求微信，返回openid 和sessionkey,openid是用户在此小程序里面的唯一标识，sessionkey是用来解密隐私信息和用户在微信登录的session,因此此sessionkey存在过期，

但是后端也有jwttoken，如何共存，

微信不会把 session_key 的有效期告知开发者。我们会根据用户使用小程序的行为对 session_key 进行续期。用户越频繁使用小程序，session_key 有效期越长，开发者在 session_key 失效时，可以通过重新执行登录流程获取有效的 session_key。使用接口 wx.checkSession可以校验 session_key 是否有效，从而避免小程序反复执行登录流程，具体请参考：https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/signature.html

因此小程序前端在请求时 判断下 wx.checkSession 检查登录状态是否过期，如果过期了，就重新执行wx.login