该标签下有 1 篇文章
JWT 是服务器签名后发放的、无法篡改的「通行证」。它由 header.payload.signature 三部分组成,服务器通过签名来校验是否为真品。要点=①必须校验签名并固定期望的 alg(拒绝 alg:none)②内容人人可读,不要放机密③把有效期设短并准备失效策略。解码(读取内容)与校验(用签名确认真伪)是两回事。