最近打算做个商城项目（个人学习练手），想采用前后端分离的方式来实现，但是api认证这块经验不足。网上看过jwt有关的帖子，但是一直不明白。

1.jwt相比随机生成一个字符串(也是有时限的)有什么优势？第一部分header内容居然包含了加密的算法，这不是更加不安全么？

2.jwt应该是登陆后生成的一个token, 但是在不登录的情况下，部分接口也是可以请求的啊，比如商品展示之类。那基础的api认证应该怎么做呢？