該標籤下有 1 篇文章
JWT 是伺服器簽章後發放的、無法竄改的「通行證」。它由 header.payload.signature 三部分組成,伺服器透過簽章來校驗是否為真品。要點=①必須校驗簽章並固定期望的 alg(拒絕 alg:none)②內容人人可讀,不要放機密③把有效期設短並準備失效策略。解碼(讀取內容)與校驗(用簽章確認真偽)是兩回事。