JSON Web Signature（JWS）和JSON Web Token（JWT）之間有什麼區別？

Question

我一直在用Java編寫一個RESTful服務。這是我瞭解到現在（糾正我，如果我錯了）：

令牌授權使用完成JSON Web令牌（智威湯遜）它有三個部分：標頭，有效載荷和祕密（在客戶端和服務器之間共享）。

我瞭解了這個概念，並且在閱讀JWT的同時，偶然發現了JSON Web簽名（JWS）。

JWS也是一個類似於JWT的編碼實體，具有標頭，有效載荷和共享密鑰。

問題：這兩個概念，即JWT和JWS有什麼區別？如果他們在技術上相似，那麼他們的執行有什麼不同？

這是我第一次使用基於令牌的身份驗證，所以有可能我誤解了這個概念。

P.S.在瀏覽this website上的示例時，我瞭解了JWS。

Answer 1

JWT實際上使用 JWS其簽名，從規格：

JSON網絡令牌（JWT）是代表 要求雙方之間傳送的緊湊，安全網址的手段。 JWT中的聲明是 編碼爲JavaScript對象表示法（JSON）對象，該對象用作JSON Web簽名（JWS）結構的有效內容的 或JSON Web加密（JWE）結構的明文的 ，聲稱被數字簽名或MAC和/或加密。

所以一個JWT是JWS結構JSON對象作爲有效載荷。一些可選鍵（或索賠）已經被定義，如iss，aud，exp等

這也意味着它的完整性保護並不僅僅限定於共享祕密，但也可以使用公共/專用密鑰密碼術。