什么是 JWT?
JWT 由三部分组成:Header(头部)、Payload(负载)和 Signature(签名)。它们通过点号分隔,并经过 Base64URL 编码。
常见的 JWT 安全陷阱
- 算法置空 (None Algorithm):攻击者可能将签名算法改为 "none" 以跳过验证。
- 密钥泄露:如果使用了简单的对称密钥(如 '123456'),黑客可以在几秒内伪造 Token。
- 敏感信息外泄:切记 Payload 部分只是编码而非加密,绝不要在里面存放用户密码。
如何安全地调试 JWT?
开发人员经常需要查看 Token 内容。使用在线调试器时,请确保你使用的平台不会在服务器端存储你的 Token。tool.tl 的 JWT 调试器完全在浏览器端运行,确保你的认证信息不会离开本地环境。
最佳实践
始终使用强签名算法(如 HS256 或 RS256),并定期更换私钥。在生产环境中,务必配合 HTTPS 使用,防止 Token 在传输过程中被截获。