开发工具箱
JWT 格式及本地解码说明
JSON Web Token (JWT) 是目前最流行的跨域身份验证解决方案之一。它是一个开放标准 (RFC 7519),定义了一种紧凑的、自包含的方式,用于在各方之间以 JSON 对象安全地传输信息。
JWT 的三个组成部分:
- 标头 (Header): 通常由两部分组成:令牌的类型(即 JWT)和所使用的签名算法(如 HMAC SHA256 或 RSA)。
- 载荷 (Payload): 包含声明(Claims),即传输的实体信息(例如用户 ID、角色、过期时间等)。
- 签名 (Signature): 对前两部分使用 Base64URL 编码后以点相连,再通过指定的秘钥和算法加密生成,用于验证消息在传输过程中未被篡改。
安全提示:
标准的 JWT 默认是未加密的(只是进行了 Base64URL 编码),任何人都可以直接解码看到里面的 Payload 信息。因此,**切勿将敏感信息(如用户密码、银行卡号等)写入 JWT 载荷中**。