Decode & Verify JSON Web Tokens
JWT.app 帮助您解码、验证和生成 JSON Web Token,这是一种用于安全数据交换的开放行业标准。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
常见问题
什么是 JWT?
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式,用于在各方之间以 JSON 对象安全地传输信息。由于经过数字签名,这些信息可以被验证和信任。
JWT 的结构是什么?
JWT 由三部分组成,用点分隔:头部、载荷和签名。头部通常包含令牌类型和签名算法。载荷包含声明或 JWT 的数据。签名用于验证 JWT 的发送者是否为其声称的身份。
什么时候应该使用 JWT?
JWT 通常用于授权和信息交换。它们非常适合单点登录 (SSO)、API 认证和各方之间的安全数据传输。
JWT 安全吗?
当正确实施时,JWT 是安全的。它们应该通过 HTTPS 传输,使用强签名算法,具有较短的过期时间,敏感数据应该加密或保持在载荷之外。
JWT 与会话 cookie 的比较?
JWT 是无状态的,可以包含用户数据,使其适用于分布式系统。会话 cookie 需要服务器端存储,但可以立即撤销。选择取决于您对安全性、可扩展性和功能性的特定要求。
如何撤销 JWT?
JWT 在设计上无法在过期前撤销。常见解决方案包括维护令牌黑名单、使用带刷新令牌的短过期时间,或在用户数据库中实施令牌版本控制。
JWT 的最大大小是多少?
虽然 JWT 没有官方大小限制,但存在实际约束。大多数 Web 服务器将头部大小限制为 4-8KB。通过最小化声明和使用高效的签名算法,将 JWT 保持在 4KB 以下。
我应该使用哪种签名算法?
对于对称加密,使用 HS256。对于非对称加密,RS256 提供广泛的兼容性,而 ES256 提供更好的性能。在 2025 年,由于其安全性和性能优势,推荐新应用使用 EdDSA。