前言

​ jwt全称是JSON Web Token。
​ 通俗地说,JWT的本质就是一个字符串,它是将用户信息保存到一个Json字符串中,然后进行编码后得到一个JWT token,并且这个JWT token带有签名信息,接收后可以校验是否被篡改,所以可以用于在各方之间安全地将信息作为Json对象传输。

​ JWT由3部分组成:标头(Header)、有效载荷(Payload)和签名(Signature)。在传输的时候,会将JWT的3部分分别进行Base64编码后用.进行连接形成最终传输的字符串
JWTString = Base64(Header).Base64(Payload).HMACSHA256(base64UrlEncode(header) + “.” + base64UrlEncode(payload), secret)

原文链接:https://blog.csdn.net/Jayjay___/article/details/132062263

学习链接:https://xz.aliyun.com/t/2338?time__1311=n4%2BxnieDqWqxg0D9DBTroGkYDCDum2or0ABxYwD&alichlgref=https%3A%2F%2Flink.csdn.net%2F%3Ftarget%3Dhttps%253A%252F%252Fxz.aliyun.com%252Ft%252F2338

https://blog.csdn.net/solitudi/article/details/112525267

web345

​ 先抓包,然后对Cookie里面的auth利用在线网站解码https://jwt.io/#encoded-jwt,得到

特征是eyjxxxx.xxxxxx,只有两端的jwt,没有签名部分

1
2
3
4
5
iss 签发者是admin
iat/nbf: 签发时间是1718375037
exp: 过期时间是1718382237
sub: 面向用户user
jti: jwt唯一标识符