ID令牌和访问令牌有什么区别，如何使用JWT实现它们？

ID令牌（Identity Token）和访问令牌（Access Token）是OAuth 2.0和OpenID Connect协议中使用的两种不同类型的令牌，它们各自有不同的用途和特点。

ID令牌（Identity Token）

基础概念：

ID令牌主要用于身份验证，它包含了用户的身份信息。
它是一个JSON Web Token (JWT)，包含了用户的身份信息，如用户ID、用户名、电子邮件等。
ID令牌通常用于单点登录（SSO）场景，客户端可以通过验证ID令牌来确认用户的身份。

优势：

提供了一种标准化的方式来传递用户身份信息。
减少了客户端需要查询用户信息的次数，提高了效率。

应用场景：

单点登录系统。
需要验证用户身份但不需要访问受保护资源的场景。

访问令牌（Access Token）

基础概念：

访问令牌用于授权，它允许客户端访问受保护的资源。
访问令牌也是一个JWT，但它包含了授权信息，而不是身份信息。
它通常有一个较短的有效期，并且可以被撤销。

优势：

提供了一种细粒度的访问控制机制。
可以灵活地控制不同客户端对资源的访问权限。

应用场景：

需要访问受保护资源的应用程序。
需要细粒度访问控制的API。

使用JWT实现ID令牌和访问令牌

JWT（JSON Web Token）是一种开放标准（RFC 7519），用于在各方之间安全地传输信息作为JSON对象。JWT由三部分组成：头部（Header）、载荷（Payload）和签名（Signature）。

生成JWT

以下是一个使用Node.js和jsonwebtoken库生成JWT的示例：

const jwt = require('jsonwebtoken');

// 生成ID令牌
const idTokenPayload = { userId: '123', username: 'john_doe' };
const idToken = jwt.sign(idTokenPayload, 'your-secret-key', { expiresIn: '1h' });

// 生成访问令牌
const accessTokenPayload = { resourceId: 'resource1', scope: 'read' };
const accessToken = jwt.sign(accessTokenPayload, 'your-secret-key', { expiresIn: '30m' });

console.log('ID Token:', idToken);
console.log('Access Token:', accessToken);

验证JWT

以下是一个验证JWT的示例：

const jwt = require('jsonwebtoken');

// 验证ID令牌
jwt.verify(idToken, 'your-secret-key', (err, decoded) => {
  if (err) {
    console.error('Invalid ID Token:', err);
  } else {
    console.log('Decoded ID Token:', decoded);
  }
});

// 验证访问令牌
jwt.verify(accessToken, 'your-secret-key', (err, decoded) => {
  if (err) {
    console.error('Invalid Access Token:', err);
  } else {
    console.log('Decoded Access Token:', decoded);
  }
});