JWT 全面解析：结构、安全与常见错误

JWT 能减少状态维护，但实现有误就会产生难以吊销的认证信息。验证规则比便利性更重要。

三段结构

JWT 由 header、payload、signature 三部分组成。payload 是可读的，因此不能包含敏感信息。

必须验证的项目

• 算法白名单
• 检查 exp、iss、aud
• access token 生命周期要短
• 必要时分离 refresh token

吊销策略

JWT 本质上难以无效化，需要短 TTL、黑名单、密钥轮换等配套策略。

实践技巧

分析生产 token 应使用 JWT Inspector 等本地浏览器工具，避免将真实 token 发送到外部解码器。