Json web token (JWT), 是為了在網絡應用環境間傳遞聲明而執行的一種基于JSON的開放标準((RFC 7519).該token被設計為緊湊且安全的,特别适用于分布式站點的單點登入(SSO)場景。JWT的聲明一般被用來在身份提供者和服務提供者間傳遞被認證的使用者身份資訊,以便于從資源伺服器擷取資源,也可以增加一些額外的其它業務邏輯所必須的聲明資訊,該token也可直接被用于認證,也可被加密。
優點
因為json的通用性,是以JWT是可以進行跨語言支援的,像JAVA,JavaScript,NodeJS,PHP等很多語言都可以使用。
因為有了payload部分,是以JWT可以在自身存儲一些其他業務邏輯所必要的非敏感資訊。
便于傳輸,jwt的構成非常簡單,位元組占用很小,是以它是非常便于傳輸的。
它不需要在服務端儲存會話資訊, 是以它易于應用的擴充
安全相關
不應該在jwt的payload部分存放敏感資訊,因為該部分是用戶端可解密的部分。
保護好secret私鑰,該私鑰非常重要。
如果可以,請使用https協定
![[BJDCTF2020]EasySearch[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)