首先，我们先了解一下什么是JWT身份验证

JWT 全称是 JSON Web Token，中文意思是 基于 JSON 的网络令牌。
它是一种用于 在客户端与服务器之间安全传递用户身份信息 的标准格式。

简单说，JWT 就是一张 加密的“通行证”：

• 服务器在用户登录时生成它；
• 客户端保存它；
• 之后每次访问受保护的 API，只要带上这个令牌，服务器就知道你是谁，无需再次登录。

JWT 的工作流程是什么样的

用户登录

用户向服务器发送用户名和密码。

服务器验证身份

如果用户名和密码正确，服务器生成一个 JWT 令牌。 这个 JWT 令牌里包含用户信息（比如用户ID、角色、过期时间等）。

服务器返回令牌

客户端（例如网页、手机App）收到 JWT 令牌，并保存起来（通常保存在 local Storage 或 cookie 中）。

后续请求

每次客户端访问受保护的 API 时，在请求头中加上： Authorization: Bearer <你的JWT令牌>

服务器验证令牌

服务器用自己的“密钥”验证令牌是否被篡改、是否过期。

验证通过 → 放行；否则 → 拒绝访问。

如何在wordpress中启用JWT身份认证

安装JWT插件

在WP Admin管理页面: Plugins → Add New → 搜索“JWT Authentication” → 安装并激活。

编辑wp-config.php文件

在网站的根目录下找到wp-config.php文件，并在/* That’s all, stop editing! */ 注释上面，添加如下代码。

define('JWT_AUTH_SECRET_KEY', 'change-this-to-a-long-random-64+char-secret');
/**
 * Optional but useful:
 * - Enable CORS headers for the token endpoints
 */
define('JWT_AUTH_CORS_ENABLE', true);

使用至少 64 个随机字符。像对待密码一样对待它；切勿将其提交到公共代码库。