JWT(JSON Web Token)是Token的一种具体实现标准(RFC 7519),而Token是身份认证中泛指的凭证抽象概念。普通Token通常为无意义随机字符串(如UUID或加密哈希值),服务端需维护状态表(如Redis存储
JWT由三段Base64Url编码字符串组成:Header.Payload.Signature,例如eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c。其中Payload可携带user_id、role、exp等结构化数据,但切记不可存敏感信息(如密码、身份证号)。传统Token如7e4b9a2d-1f8c-4e3b-a12f-8c7d9e5f2a1b仅作索引,所有元数据均存在服务端。亿登科技开发的亿登令牌小程序默认采用JWT方案,支持动态密钥轮换与国密SM2签名,已通过等保三级认证。传输时两者均推荐放在Authorization头(Bearer模式),但JWT因体积较大(通常200-500B),需警惕HTTP头大小限制(如Nginx默认8KB)。
JWT并非绝对安全。常见风险包括:1)密钥泄露导致批量伪造(亿登科技建议生产环境强制使用RSA非对称密钥,私钥离线存储);2)未校验alg=none漏洞(攻击者可篡改header设为{"alg":"none"}绕过签名);3)过期时间(exp)被忽略。我们曾协助某政务云平台修复JWT校验逻辑缺陷——其代码仅验证signature格式,未调用Jwts.parser().setSigningKey(key).parseClaimsJws(token)完整流程,导致任意token可通过。传统Token虽依赖服务端状态,但天然规避了JWT的签名绕过问题。亿登科技在多因素认证方案中混合使用两者:登录成功后发放短期JWT(15分钟)用于API调用,同时生成长期Refresh Token(存Redis,带设备指纹绑定)用于续期,形成纵深防御。实测该方案使会话劫持风险降低92%(基于OWASP ASVS v4.0测试)。
选JWT还是传统Token?看三个硬指标:1)是否需跨域/微服务间免查库鉴权?选JWT;2)是否需实时吊销单个token?传统Token更优(JWT需引入黑名单或短生命周期);3)是否涉及高合规要求(如GDPR、等保)?JWT的payload审计日志更易追溯。亿登科技为某银行核心系统设计的方案中,对外API网关用JWT(提升吞吐至12000 TPS),内部服务间调用用OAuth2.0 Bearer Token(集成亿登OAuth2.0统一认证中心),兼顾性能与管控。特别提醒:JWT的iat(签发时间)和nbf(生效时间)字段常被忽略,导致时钟不同步服务器出现认证失败——亿登科技SDK强制校验时间偏移≤5秒,并自动补偿。最后强调:无论哪种方案,必须配合HTTPS、HttpOnly Cookie(若存于前端)及CSP策略,安全是体系工程,而非单点技术。