JWT 学习路径

JWT 教程:解码、校验,并加固每一个 Token

本教程讲解 JWT 的组成结构,演示如何使用 JWTSecrets 在本地安全地解码 Token,并给出在生产环境应当自动化的安全校验清单。

实践为先 零服务器上传 包含安全清单

1. 理解 JWT 的三段结构

JWT 由三个使用 Base64URL 编码的片段组成,并以点号分隔。Header 定义元信息,Payload 承载声明(Claims),Signature 用于保证完整性与防篡改。

Header

包含 alg(算法)、typkid 等字段。除非在复盘攻击,请拒绝 alg: none

Payload

包含注册声明如 isssubaudexpnbf,以及自定义范围与角色。务必把所有字段视为不可信输入。

Signature

通过 HMAC(如 HS256)或非对称算法(如 RS256ES256)保证完整性。验证需要正确的密钥或 JWKS。

2. 使用 JWTSecrets 安全解码

  1. 复制完整的 Token。 三段均需包含;缺少片段或签名截断会导致错误。
  2. 粘贴到 JWT 解码器 工具在浏览器本地运行,突出显示 Header 与 Payload,并为明显风险打分。
  3. 查看高亮问题。 JWTSecrets 会提示缺少 exp、过长有效期、未来的 nbf、以及弱签名等问题。
  4. 安全分享。 对外分享请仅使用演示用的合成 Token;生产密钥与真实 Token 不应离开你的控制域。

小贴士

可在解码器 URL 末尾追加 #t= + Base64 编码的 Token,以在加载时自动预填并在本地解析。

3. 在信任 Token 之前校验声明

解码只是第一步。你需要在 API 层对声明进行自动化校验,并在调试时配合人工审查,确保与认证策略一致。

核查清单

  • 确认 iss 与你的身份提供方一致。
  • 确认 aud 能够匹配消费 Token 的应用或 API。
  • 确认 expnbf 符合时钟偏差与密钥轮换策略。
  • 确认自定义声明(Scopes、角色)与用户画像一致。

自动化建议

  • 在网关拒绝未签名或签名无效的 Token。
  • 固定允许的算法列表(如 "RS256"、"ES256"、"HS512")。
  • 交互式会话使用短期有效期 + 刷新机制;机器 Token 更短并依赖客户端凭据重新签发。
  • 为每次 Token 决策输出结构化日志,便于审计。

4. 加固你的 JWT 流水线

要保护端到端会话,除了解码,还需包含签名验证、密钥轮换与监控告警。

验证清单

  • 使用签名密钥或 JWKS 端点验证签名。
  • 查找 jti(Token ID)用于撤销与黑名单检测。
  • 确认范围(Scopes)匹配正在访问的端点权限。

监控实践

  • 输出包含 subiss 与决策结果的结构化日志。
  • 对异常长有效期或不寻常的 aud 触发告警。
  • 建立仪表盘对比签发与撤销事件,监测异常趋势。

下一步

浏览 JWT 示例

了解 B2C、B2B 与机器 Token 的声明结构与评分。

接入验证能力

申请 JWTSecrets 企业版,自动执行算法限制、策略校验与审计日志。

常见问题

解码是否需要我的密钥?

不需要。解码 Header 与 Payload 不依赖签名密钥;但验证签名需要密钥,因此 JWTSecrets 企业版可与托管 HSM 集成。

是否应该把 Token 存在 localStorage?

尽量避免。建议将会话 Token 放在 HttpOnly Cookie 中以防 XSS 访问,并对刷新 Token 进行频繁轮换。

exp 应该设置多长?

交互式登录建议有效期不超过 15 分钟,并配合自动刷新。机器 Token 的有效期应更短,并依赖客户端凭据进行重新签发。