理解 JSON Web Token：開發者指南

JWT 是一種在兩個系統之間傳遞宣告的緊湊令牌格式，在現代 Web 應用的驗證和授權流程中被廣泛使用。

JWT 的結構

JWT 由三個以點分隔的部分組成：header.payload.signature，每部分都是經過 Base64URL 編碼的 JSON。

• Header — 令牌類型和簽名演算法
• Payload — 已登錄、公開和私有宣告
• Signature — 驗證令牌未被竄改

安全注意事項

• 不要將敏感資訊放入 payload — JWT 是編碼而非加密
• 不要跳過簽名驗證
• 使用較短的過期時間
• 使用足夠強的簽名金鑰

安全檢查方式

檢查令牌時，建議使用在瀏覽器內運行的檢查工具。伺服器端解碼器可能會將正式環境的令牌記錄到日誌中。