AG
JWT
DECODER
解码器
算法
声明
指南
关于
한국어
English
日本語
中文
Español
Português
Français
Deutsch
Русский
العربية
Bahasa Indonesia
解码器
/
指南
/
JWS 与 JWE(签名 vs 加密)
指南
JWS 与 JWE(签名 vs 加密)
JWT 通常是签名的 JWS;若要隐藏内容则使用加密的 JWE。二者的区别如下。
JWS(签名):只对头部和载荷签名。内容是 base64url,任何人都可读,仅验证是否被篡改 —— 这就是常见的 JWT。
JWE(加密):对载荷加密以隐藏内容。没有密钥无法读取,用于敏感数据,采用五部分结构(四个点)。
大多数『JWT』都是 JWS。本解码器也解码 JWS(JWE 需要解密密钥)。
小结:只需完整性 → JWS;还需机密性 → JWE(或在 TLS 之上使用 JWS)。
亲自解码一个令牌吧
只需粘贴,头部、载荷和声明立即展开。
打开解码器
相关条目
什么是 JWT
JWT(JSON Web Token)是一种经过签名的小型 JSON 令牌格式,用于在各方之间安全地传递信息。
JWT 的三部分结构
每个 JWT 都由 header.payload.signature 三部分组成,每部分都经 base64url 编码。
JWT 安全检查清单
安全使用 JWT 的关键原则简要清单。
JWT 与会话认证的对比
基于令牌(JWT)的认证与基于服务器会话(Cookie)的认证的区别及选择依据。
常见 JWT 错误及解决
处理 JWT 时最常遇到的错误及其原因与解决方法。
访问令牌与刷新令牌
短寿命的访问令牌,以及用于续发它的刷新令牌各自的作用。
JWT 存放位置:localStorage 与 Cookie
在浏览器中把 JWT 存放在哪里,会改变你的 XSS 与 CSRF 风险。
自定义声明(公开 vs 私有)
除注册声明(iss、exp 等)外,你自行定义的声明种类及避免冲突的方法。
OAuth 2.0 与 OpenID Connect 中的 JWT
梳理 JWT 在 OAuth 2.0 和 OpenID Connect 中扮演的角色。