JWT 案例

适用于各类业务场景的 JWT 示例

这些 Token 均为安全的演示数据,帮助你对比不同场景下的声明组合,并理解 JWTSecrets 的风险提示。

B2C 应用

针对 Web 或移动用户的短期访问 Token,重点关注过期时间与 scope。

HS256 登录 Token

15 分钟

示例 Token 在 15 分钟后过期,仅允许 email 权限。

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJhcHAuZXhhbXBsZSIsImF1ZCI6ImFwcC5mcm9udCIsInN1YiI6InVzZXJfNTUiLCJleHAiOjE3MDAwMDAwMDAsImlhdCI6MTcwMDAwMDAwMCwic2NvcGUiOlsiZW1haWwiXX0.c2lnbmVkX2RlbW9fYWJjMTIz
打开解码器

PKCE Access Token

RS256

包含 `kid` 以便通过 JWKS 校验,适合 OAuth 授权场景。

eyJhbGciOiJSUzI1NiIsImtpZCI6ImtnXzEyMzQifQ.eyJpc3MiOiJsb2dpbi5pZHAiLCJzdWIiOiJ1c2VyXzk5IiwiaWF0IjoxNzAwMDAwMDAwLCJleHAiOjE3MDAwMDA5MDAsImF1ZCI6ImFwcC5kYXNoYm9hcmQiLCJzaWQiOiJhdXRoXzEyMyIsImF6cCI6ImNsaWVudF8xMjMifQ.c2lnbmVkX3JzYV9kZW1v
打开解码器

服务到服务

机器间通信 Token 强调最小化权限与短生命周期。

Client Credentials Token

包含 `client_id` 与 `scope`,有效期 5 分钟。

eyJhbGciOiJSUzI1NiIsImtpZCI6IjEyMzQifQ.eyJpc3MiOiJodHRwczovL2FwaS5hcHAtc2VjdXJlLmNvbSIsImF1ZCI6Imh0dHBzOi8vYXBpLm15c2VydmljZS5jb20iLCJjbGllbnRfaWQiOiJzYW5kYm94LXBhcnRuZXIiLCJzY29wZSI6WyJyZWFkOnVzZXJzIiwiY3JlYXRlOnRva2VucyJdLCJpYXQiOjE3MDAwMDAwMDAsImV4cCI6MTcwMDAwMDMwMH0ucmFzX3NpZ25hdHVyZV9kZW1v

Webhook Token

通过 `nbf` 与 `jti` 防止重放攻击。

eyJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJ3ZWJob29rLXNlcnZpY2UiLCJhdWQiOiJjbHVzdGVyLWFwaSIsImp0aSI6IjEyMzQ1NiIsIm5iZiI6MTcwMDAwMDAwMCwiZXhwIjoxNzAwMDAwMDYwfQ5jaGVja19zaWduYXR1cmUi

风险示例

这些 Token 演示常见误配置,可配合安全演练使用。

`alg: none` Token

eyJhbGciOiJub25lIiwidHlwIjoiSldUIn0.eyJpc3MiOiJldmlsLWlzc3VlciIsInN1YiI6ImF0dGFja2VyIiwicm9sZSI6ImFkbWluIn0.

若系统接受该 Token,说明验证流程完全失效。

超长有效期 Token

eyJhbGciOiJIUzUxMiIsInR5cCI6IkpXVCJ9.eyJpc3MiOiJtb2JpbGUuYXBwIiwiYXVkIjoibW9iaWxlLWFwaSIsImlhdCI6MTcwMDAwMDAwMCwiZXhwIjoxNzAzODQwMDAwLCJyb2xlIjoiYXBwIn0ubG9uZ19zaWduYXR1cmVfdGVzdA

有效期达 30 天,没有 `jti`,容易被滥用。

如何使用这些示例

  1. 复制 Token 并在 解码器 中查看安全评分。
  2. 与团队分享,模拟攻防演练或安全评估。
  3. 升级企业版,实现签名校验与策略拦截。