JSON Web 令牌(JWT)是一种紧凑、URL 安全的表示方式,用于在双方之间传递声明。令牌由三个以点分隔的 base64url 段组成——头部、负载和签名。
头部标识签名算法。负载携带声明(谁、何事、何时)。签名使用头部中的算法和共享密钥(HS*)或私钥(RS*/ES*)对前两个段计算得出。
JWT 不进行加密——任何拿到令牌的人都可以读取头部和负载。机密性必须由传输层安全(TLS)或加密变体(JWE)来保障。