JWT 全面解析：結構、安全與常見錯誤

JWT 能減少狀態維護，但實作有誤就會產生難以吊銷的認證資訊。驗證規則比便利性更重要。

三段結構

JWT 由 header、payload、signature 三部分組成。payload 是可讀的，因此不能包含敏感資訊。

必須驗證的項目

• 演算法白名單
• 檢查 exp、iss、aud
• access token 生命週期要短
• 必要時分離 refresh token

吊銷策略

JWT 本質上難以無效化，需要短 TTL、黑名單、金鑰輪換等配套策略。

實踐技巧

分析正式環境 token 應使用 JWT Inspector 等本地瀏覽器工具，避免將真實 token 傳送到外部解碼器。