帮助中心

JWT 常见问题

关于 JWT 解码、签名、存储与撤销的核心问题都在这里。

解码器会把 Token 上传到服务器吗？

不会。所有解析逻辑在浏览器本地执行，代码开源透明。

如何验证 JWT 签名？

需要使用服务器端或企业版工具，结合密钥（HMAC）或 JWKS（RSA/ECC）来完成验证。

浏览器中该把 Token 放在哪里？

优先使用 HttpOnly Cookie，以降低 XSS 读取风险。必要时配合短期 Access Token 与刷新机制。

如何撤销已签发的 Token？

为 Token 添加 `jti`，在网关或服务端维护撤销列表。高风险场景下可结合 Redis、数据库或 SIEM 进行同步。

HS256 和 RS256 有何区别？

HS256 使用共享密钥，配置简单但可能扩散；RS256 使用公私钥，适合多服务协同验证。

需要更多支持？

继续阅读 JWT 教程，或发送邮件至 hello@jwtsecrets.com。