JSON Web 令牌(JWT)是一種精簡、URL 安全的表示方式,用於在雙方之間傳遞聲明。令牌由三個以點分隔的 base64url 段組成——標頭、承載和簽章。
標頭標識簽署演算法。承載攜帶聲明(誰、何事、何時)。簽章使用標頭中的演算法與共用金鑰(HS*)或私鑰(RS*/ES*)對前兩個段計算得出。
JWT 不進行加密——任何拿到令牌的人都能讀取標頭和承載。機密性必須由傳輸層安全性(TLS)或加密變體(JWE)來保障。