jwt学习随笔
原文中文,约2000字,阅读约需5分钟。发表于:。jwt全称json web token,顾名思义json格式的web令牌。我用几个关键词知识点将其概括:json格式用户信息加密到token里服务器不保存任何用户信息服务器只保存密钥信息通过使用特定加
JWT是一种使用JSON格式的Web令牌,用于用户身份验证。令牌由header、payload和signature三部分组成。攻击方式包括修改加密算法、爆破密钥、修改参数、任意文件读取、SQL注入、命令注入和信息泄露等。其中,将alg字段设置为none或将signature置为空可以伪造身份。将RSA加密算法修改为HMAC加密算法更容易获取私钥。修改kid、jku或x5u参数可能导致任意文件读取、SQL注入和命令注入漏洞。令牌的payload部分可能泄露敏感信息。
