JWT如何防止 Token 被篡改？

　　例子：token = SlwJwt.createToken(TokenUtil.header, secretKey.getBytes(), payload);

JSON Web令牌以紧凑的形式由三部分组成，这些部分由点(.)分隔，分别是：头(Header)、有效载荷(Playload)、签名(Signature)；

Header：对TokenUtil.header（含有加密算法）进行Base64Url编码得到jwt的第一部分；

Playload：存放有效信息的地方，Base64Url编码得到第二部分；

Signature：是整个数据的认证信息。一般根据前两步的数据，然后通过header中声明的加密方式进行加盐secret组合加密，然后就构成了jwt的第3部分

　　此时 signature字段就是关键了，能被解密出明文的，只有header和payload

假如黑客/中间人串改了payload，那么服务器可以通过signature去验证是否被篡改过

在服务端在执行一次 signature = 加密算法(header + “.” + payload, 密钥);, 然后对比 signature 是否一致，如果一致则说明没有被篡改。

　　所以为什么说服务器的密钥，也就是例子中的secretKey.getBytes()不能被泄漏。只要密钥不被泄露，Signature无法正确，所以就会被服务器识别出来伪造信息。