Question 1

什么是 JSON Web Token (JWT)？

Accepted Answer

JSON Web Token (JWT) 是一种紧凑的、URL 安全的令牌格式，用于在各方之间安全传输 JSON 对象形式的信息。它由三部分组成：Header（算法和令牌类型）、Payload（声明/数据）和 Signature（签名）。JWT 广泛用于 Web 应用程序和 API 的认证和授权。

Question 2

可以在没有密钥的情况下解码 JWT 吗？

Accepted Answer

可以。JWT 的 Header 和 Payload 只是 Base64URL 编码的，而非加密的。任何拥有令牌的人都可以解码并读取这些部分。密钥仅用于验证签名。因此不应在 JWT Payload 中存储敏感信息。

Question 3

JWT 与 Session Cookie 有什么区别？

Accepted Answer

Session Cookie 在客户端存储会话 ID，实际数据保存在服务器端。JWT 是自包含的令牌，携带所有必要数据。JWT 是无状态的，适合分布式系统和 API，而 Session Cookie 需要服务器端存储。

Field	Name	Description
alg	Algorithm	Signing algorithm (HS256, RS256, ES256, etc.)
typ	Type	Token type, typically "JWT"
kid	Key ID	Identifier for the signing key used
jku	JWK Set URL	URL to the JSON Web Key Set
x5u	X.509 URL	URL to the X.509 certificate chain

Claim	Name	Description
iss	Issuer	Entity that issued the JWT
sub	Subject	Subject of the JWT (user ID)
aud	Audience	Recipient(s) the JWT is intended for
exp	Expiration	Timestamp after which the JWT expires
nbf	Not Before	Timestamp before which the JWT is not valid
iat	Issued At	Timestamp when the JWT was issued
jti	JWT ID	Unique identifier for the JWT

JWT Token 解码器

JWT 结构参考