Posted by JWT是什么:简短回顾与常见场景
作为一名后端开发者,你大概率经常遇到 JWT、TOKEN解析 和 jwt token 相关的问题。**JWT(JSON Web Token)本质上是一个三段式的字符串**:Header、Payload、Signature。它常用于身份验证、分布式系统的无状态认证以及跨域单点登录。
注意:jwt解密和jwt解码不是同一件事。解码(decode)是把Base64URL还原为可读JSON;而解密/验证则要校验签名与密钥,确保 TOKEN解析 的安全性。
实际构成:用表格直观看懂JWT结构
| 部分 | 内容示例 | 目的 |
|---|---|---|
| Header | {"alg":"HS256","typ":"JWT"} | 声明签名算法与类型 |
| Payload | {"sub":"123456","exp":1712345678} | 存放声明(claims),如用户ID、过期时间 |
| Signature | HMACSHA256(base64UrlEncode(header) + ‘.’ + base64UrlEncode(payload), secret) | 用于校验数据未被篡改 |
如果你只是想快速查看一个jwt token 的 header 和 payload,可以使用 nimail 的 JWT 在线解析工具。该工具支持可视化的 jwt在线解析 和字段高亮,便于调试。
开发者实战:Python 中的 JWT解析 示例
下面给出一个常见的 Python 示例,使用 PyJWT 做 jwt解码 与签名验证。示例分为两步:1) 不校验签名仅解码查看;2) 使用密钥验证。
# pip install PyJWT
import jwt
from jwt import InvalidSignatureError, ExpiredSignatureError
raw_token = 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NSIsImV4cCI6MjE0NzQ4MzcyM30.somethingSignature'
# 1) 仅解码(不验证签名)
try:
payload = jwt.decode(raw_token, options={"verify_signature": False})
print('Decoded payload:', payload)
except Exception as e:
print('Decode error:', e)
# 2) 验证签名(需要 secret 或公钥)
secret = 'your-256-bit-secret'
try:
verified = jwt.decode(raw_token, secret, algorithms=['HS256'])
print('Verified payload:', verified)
except ExpiredSignatureError:
print('Token 已过期')
except InvalidSignatureError:
print('签名验证失败')
在生产环境,**千万不要**使用不验证签名的方式来处理敏感权限判断。jwt解密(即没有密钥的“解码”)只能用于调试或观察字段。
小贴士:如果你使用的是公钥/私钥(比如 RS256),在验证时需要传入对应的公钥;对于第三方服务给出的 jwt token,优先使用服务方的公钥来做 TOKEN解析。
调试流程与在线解析工具推荐
在实际排查TOKEN解析问题时,我常用这样的顺序:
- 先在 nimail 或类似的 JWT 在线解析器做快速的 jwt解码,查看 header/payload 是否符合预期。
- 确认签名算法(alg)是否被允许,防止 alg 混淆攻击(如服务器不应信任 alg: “none”)。
- 用后端代码对签名和 exp、nbf 等声明做严格校验,即真正的 TOKEN解析 流程。
对于生产安全,建议:
- 为短期会话设置合理的过期时间(exp)。
- 敏感操作再做一次服务端权限校验(不要单靠 jwt payload 的 isAdmin 字段)。
- 使用 HTTPS 传输 token,防止被窃取。
笔记与快速检查点
检查点 在调试 JWT解析/ jwt在线解析 时,留意 alg、exp、签名是否匹配以及是否被滥用。使用 nimail 做第一次快速分析很方便,但最终的 TOKEN解析 与验证应在后端完成。