JSON Web Tokens (JWT) 是现代身份验证的基石。然而，它们经常被误解，从而导致严重的安全性漏洞。让我们解构 JWT 并学习如何安全地使用它。

1. JWT 的三个组成部分

JWT 由三个由点 (.) 分隔的 Base64URL 编码字符串组成：

• Header (头部)：包含算法（如 HS256）和令牌类型。
• Payload (负载)：包含“声明”或数据（如用户 ID、过期时间）。
• Signature (签名)：用于验证发送者的身份，并确保消息在传输过程中未被篡改。

2. 常见误区：“JWT 是加密的”

这是最危险的误区。默认情况下，JWT 是经过签名的，而非加密的。任何能够接触到令牌的人都可以解码负载。

您可以使用我们的JWT 解析器亲自尝试。只需粘贴一个令牌，您就能看到它携带的所有信息。这就是为什么您绝不应该在标准 JWT 中存储密码或 PII（个人可识别信息）等敏感数据。

3. 开发者最佳实践

1. 始终验证：永远不要在未验证服务器端签名的情况下信任令牌。
2. 使用强密钥：如果使用 HS256，请使用长且随机的密钥。
3. 设置过期时间：务必包含 exp 声明，以限制被盗令牌的有效窗口。
4. 仅限 HTTPS：仅通过安全通道传输令牌。

结论

如果使用得当，JWT 是实现无状态身份验证的强大工具。通过意识到它们的透明性并依赖正确的签名验证，您可以构建可扩展且安全的应用程序。