JWT(JSON Web Token)
本文基于 RFC 7519 国际标准,从基础认知、核心结构、原理流程、算法体系、特性优劣、安全合规、工程实战、避坑指南、横向对比、进阶场景 10 个维度,构建 JWT 完整的结构化知识体系,覆盖从入门到生产落地的全链路内容。
一、基础认知层:定义与核心边界
1. 核心定义
JWT(JSON Web Token)是 RFC 7519 定义的开放行业标准,用于在网络环境中以紧凑、自包含、可验证的方式,在多方之间安全传输 JSON 格式的声明信息。
- 核心本质:基于 JSON 的无状态令牌规范,核心特性是自包含与无状态
- 标准家族:JWT 是统称,包含 JWS(签名令牌,RFC 7515)和 JWE(加密令牌,RFC 7516)两大实现分支,日常所说的 JWT 默认指 JWS
2. 诞生背景
解决传统 Session-Cookie 认证机制的核心痛点:
- 分布式系统 Session 共享复杂度高,水平扩展受限
- Cookie 受同源策略限制,跨域认证实现困难
- 移动端/小程序/IoT 设备对 Cookie 适配性差
- 存在 CSRF 攻击、Session 劫持等安全风险
3. 适用与不适用场景
| 核心适用场景 | 不适用场景 |
|---|---|
| 前后端分离架构的身份认证 | 需要频繁撤销令牌、强制全平台登出的场景 |
| 微服务/分布式系统的跨服务认证 | 超大量用户、权限实时动态变更的核心系统 |
| 跨域/跨机构的授权与信息交换 | 需要存储大量敏感信息的场景 |
| 移动端 APP/小程序/IoT 设备认证 | 需要精准统计在线用户、会话管理的场景 |
二、核心结构层:JWT 的标准格式与字段规范
标准 JWT(JWS)采用三段式.分隔结构,格式为:[Header].[Payload].[Signature],每一段均采用 Base64URL 编码(URL 安全的 Base64,替换 +//、去除 = 填充,非普通 Base64)。
1. Header(头部)
JSON 对象,描述 JWT 的元数据,Base64URL 编码后为第一段字符串,核心作用是声明令牌类型与签名算法。
| 字段 | 必选 | 含义与规范 |
|---|---|---|
| alg | 是 | 签名/加密算法,如 HS256、RS256、ES256,none 表示无签名(生产环境绝对禁用) |
| typ | 否 | 令牌类型,固定值 JWT |
| kid | 否 | 密钥 ID,多密钥场景下用于快速匹配验签密钥 |
| cty | 否 | 内容类型,嵌套 JWT 时固定为 JWT |
示例:
{"alg":"RS256","typ":"JWT","kid":"key-202603"}
2. Payload(载荷)
JSON 对象,存放核心声明(Claims)与业务数据,Base64URL 编码后为第二段字符串。
⚠️ 关键警告:Base64URL 是编码而非加密,Payload 内容任何人拿到令牌均可解码,绝对禁止存放密码、身份证、手机号等敏感信息。
Payload 的 Claims 分为三类:
- 公共声明:自定义可公开字段,如用户名、角色、租户 ID,需避免与注册声明冲突
- 私有声明:通信双方约定的非公开业务字段,仅用于内部业务逻辑
注册声明(RFC 预定义,推荐必用)
| 字段 | 全称 | 核心含义 |
|---|---|---|
| iss | issuer | 令牌签发人 |
| sub | subject | 令牌主题,通常为用户唯一 ID |
| aud | audience | 令牌受众,接收方标识 |
| exp | expiration time | 过期时间,Unix 时间戳,验签必须强制校验 |
| nbf | not before | 生效时间,该时间前令牌无效 |
| iat | issued at | 签发时间,Unix 时间戳 |
| jti | JWT ID | 令牌唯一标识,用于防重放、黑名单管理 |
示例:
{"sub":"user_123456","iss":"auth-center","aud":"business-system","iat":1710000000,"exp":1710009000,"jti":"token_abc123def456","role":"admin","tenant_id":"tenant_789"}
3. Signature(签名)
JWT 的核心安全屏障,防止 Header 和 Payload 被篡改,为第三段字符串。
- 生成规则:
签名算法 ( Base64URL(Header) + "." + Base64URL(Payload) , 密钥/私钥 ) - 验签逻辑:服务端用相同算法和对应密钥(公钥,非对称算法)重新计算签名,与令牌中的签名对比,一致则证明内容未被篡改
- 核心边界:签名仅防篡改,不防内容泄露,Payload 依然是明文编码状态
三、核心原理与标准工作流程
1. 核心底层原理
- 无状态认证:服务端不存储任何会话信息,所有用户身份/权限状态均封装在令牌中,仅需验签即可完成认证,彻底解决分布式 Session 共享问题
- 不可篡改性:基于成熟密码学算法,Header/Payload 任何字节的修改都会导致签名失效,从根本上防止身份伪造
- 自包含性:令牌本身包含认证与业务所需的全部信息,验签通过后无需额外查询数据库,大幅降低服务端 IO 压力
2. 标准全流程(前后端分离核心场景)
- 用户提交账号密码等凭证,发起登录请求
- 服务端校验凭证合法性,提取用户核心信息,生成并签发 JWT 令牌(设置过期时间、核心声明)
- 服务端将 JWT 返回给客户端
- 客户端存储 JWT(推荐 HttpOnly+Secure+SameSite Cookie,禁止 localStorage/sessionStorage)
- 客户端后续请求,将 JWT 放入 HTTP 请求头
Authorization字段,标准格式:Authorization: Bearer <JWT 令牌> - 服务端/网关接收请求,提取 JWT 并执行全量校验:
- 格式合法性校验(三段式、编码合规)
- 签名有效性校验(防篡改)
- 声明校验(exp/nbf 有效期、iss 签发人、aud 受众合规性)
- 黑名单校验(是否已被主动作废)
- 校验全量通过,识别用户身份,执行业务逻辑并返回结果
- 任意一项校验失败,直接返回
401 Unauthorized/403 Forbidden
四、算法体系与分类规范
1. JWT 两大分支:JWS vs JWE
日常使用的 JWT 默认是 JWS,JWE 用于高安全敏感场景,核心对比如下:
| 特性 | JWS(JSON Web Signature) | JWE(JSON Web Encryption) |
|---|---|---|
| 核心目标 | 防内容篡改、身份可验证 | 防篡改 + 内容加密,保障数据机密性 |
| 结构 | 三段式(Header.Payload.Signature) | 五段式(受保护头。加密密钥.IV.密文。认证标签) |
| 内容可见性 | Payload Base64 编码,明文可见 | Payload 对称加密,仅持有私钥方可解密 |
| 性能 | 高,仅签名/验签计算 | 低,需加解密 + 验签双重计算 |
| 适用场景 | 非敏感信息传递、通用身份认证 | 敏感信息传输、高安全级别的跨机构调用 |
| 普及度 | 极高,行业默认方案 | 较低,仅高安全场景使用 |
2. JWS 核心签名算法
分为对称加密、非对称加密两大类,生产环境优先选择非对称算法。
(1)对称加密算法(HS 系列)
- 代表算法:HS256(HMAC-SHA256)、HS384、HS512
- 核心逻辑:使用同一个密钥完成签名和验签
- 优势:计算速度快、性能高、实现简单
- 劣势:密钥分发风险高,所有验签服务必须持有同一密钥,密钥泄露可导致全体系伪造;不支持不可否认
- 适用场景:单体应用、内部可信服务集群、单节点验签
(2)非对称加密算法(RS/ES/PS 系列)
- 主流算法:
- RS256(RSA-SHA256):行业通用 RSA 算法,兼容性最强
- ES256(ECDSA-SHA256):椭圆曲线算法,同安全强度下密钥更短、性能更高
- PS256(RSA-PSS-SHA256):RSA 增强填充模式,安全性更高
- 核心逻辑:私钥签名,公钥验签;公钥可公开分发,私钥仅签发方持有
- 优势:密钥安全性高,公钥泄露无风险;支持不可否认;完美适配多服务/跨机构场景
- 劣势:计算性能低于 HS 系列,密钥管理复杂度更高
- 适用场景:微服务分布式系统、跨域跨机构认证、第三方开放平台、高安全要求业务
(3)禁用算法
none 无签名算法,生产环境绝对禁用,攻击者可任意伪造令牌。
五、核心特性与优劣势分析
1. 核心优势
- 天然分布式适配:彻底无状态,服务端无需存储会话,无需 Session 共享,水平扩展零成本,完美适配云原生微服务架构
- 原生跨域支持:不受 Cookie 同源策略限制,可在多域名、多服务、多端之间自由传递,跨域认证实现极简
- 全场景多端适配:完美支持 PC Web、移动端 APP、小程序、IoT 设备,不受 Cookie 禁用限制
- 低服务端压力:自包含特性,验签通过后无需重复查询数据库,大幅减少数据库 IO 开销
- 高标准化兼容性:基于 RFC 国际标准,所有主流编程语言、框架均有成熟实现库,跨语言跨平台兼容性极强
- CSRF 攻击天然免疫:不依赖 Cookie,从根源上规避基于 Cookie 的 CSRF 攻击风险
- 安全可控性强:基于成熟密码学体系,可灵活选择算法,配合安全策略可满足绝大多数业务的安全要求
2. 核心劣势与天生缺陷
- 令牌不可撤销(最大痛点):一旦签发,过期前始终有效,服务端无法主动作废,即使用户登出、密码修改、权限回收,原令牌依然可用
- 明文内容泄露风险:Payload 仅做 Base64 编码,无加密能力,无法存储敏感信息
- 网络开销较大:令牌长度远大于 SessionID,Payload 字段越多体积越大,每次请求均需携带,增加网络传输开销
- 权限状态无法实时同步:用户权限、身份信息变更后,必须等待令牌过期或重新登录才能生效,无法实时更新
- 密钥泄露致命风险:对称算法密钥泄露可导致任意令牌伪造;非对称算法私钥泄露可导致整个认证体系完全崩溃
- 重放攻击风险:令牌一旦被窃取,攻击者可在有效期内无限次使用,原生无防重放能力
- 会话管理能力缺失:服务端无会话存储,无法精准统计在线用户,无法原生实现全平台强制登出
六、安全合规体系:生产环境必守规范
1. 核心安全风险与防护方案
| 风险类型 | 风险详情 | 强制防护方案 |
|---|---|---|
| 令牌篡改攻击 | 攻击者修改 Payload 权限/用户 ID,伪造身份 | 1. 强制校验签名,禁用 none 算法;2. 验签时强制指定算法,禁止信任 Header 中的 alg 字段,防止算法替换攻击;3. 生产环境优先使用非对称算法 |
| 令牌窃取攻击 | XSS 攻击窃取客户端令牌、中间人攻击窃取传输中的令牌 | 1. 强制 HTTPS 传输,禁止 HTTP 明文;2. 客户端优先使用 HttpOnly+Secure+SameSite Cookie 存储,禁止 localStorage 存储;3. 缩短访问令牌有效期;4. 实现 IP/User-Agent 绑定,异常环境直接拒绝 |
| 不可撤销风险 | 用户登出/权限变更后,原令牌依然有效 | 1. 短有效期 + 双令牌刷新机制;2. 基于 Redis 的分布式黑名单系统,按 jti 作废令牌;3. 令牌版本号机制,用户状态变更时升级版本号,验签时校验;4. 定期密钥轮转 |
| 重放攻击 | 攻击者窃取令牌后重复发起请求 | 1. 强制校验 exp/nbf,缩短有效期;2. 用 jti 记录已使用令牌,防重放;3. 重要接口增加时间戳 +nonce 随机数校验 |
| 敏感信息泄露 | Payload 存放敏感信息被解码泄露 | 1. Payload 仅存放必要的非敏感信息;2. 绝对禁止存放密码、身份证等敏感数据;3. 必须传输敏感信息时使用 JWE 加密方案 |
| 密钥管理风险 | 密钥硬编码、弱密钥、泄露 | 1. 密钥通过 KMS/配置中心管理,禁止硬编码;2. 对称密钥长度≥256 位,RSA 密钥≥2048 位(优先 4096 位);3. 不同环境密钥完全隔离,定期轮转 |
| 越权攻击 | 攻击者利用伪造的权限字段越权访问 | 1. 核心接口/高敏感操作必须二次校验权限,不单独信任 JWT;2. 高风险操作(转账、改密、管理员操作)必须二次身份校验 |
2. 生产环境安全必做清单
✅ 强制 HTTPS 传输,全链路加密
✅ 优先使用 RS256/ES256 非对称算法,避免 HS256 对称算法
✅ 强制校验签名、exp、nbf、iss、aud 核心字段
✅ 绝对禁用 none 算法,禁用弱加密算法
✅ 访问令牌有效期控制在 30 分钟内,敏感场景≤15 分钟
✅ 客户端令牌存储优先 HttpOnly+Secure+SameSite Cookie
✅ 实现分布式黑名单机制,支持令牌主动作废
✅ 密钥通过专业 KMS 管理,定期轮转,环境隔离
✅ 高敏感操作二次身份校验,不单独依赖 JWT
✅ 验签时强制指定算法,防范算法替换攻击
七、工程化实战:落地最佳实践
1. 主流语言成熟实现库
| 编程语言 | 主流实现库 |
|---|---|
| Java | JJWT、Auth0 java-jwt、Spring Security OAuth2 原生集成 |
| Python | PyJWT、python-jose |
| Node.js | jsonwebtoken、jose |
| Go | golang-jwt/jwt |
| PHP | firebase/php-jwt |
| C# | System.IdentityModel.Tokens.Jwt |
2. 核心工程化方案:双令牌无感刷新机制
解决「短有效期安全要求」与「用户免频繁登录体验」的核心矛盾,是生产环境的标准方案。
核心设计
- Access Token(访问令牌):有效期 15-30 分钟,用于普通接口请求认证,每次请求携带,泄露风险低
- Refresh Token(刷新令牌):有效期 7-30 天,仅用于刷新 Access Token,不用于普通接口请求,需服务端存储并绑定用户
完整流程
- 用户登录成功,服务端同时签发 Access Token 和 Refresh Token,Refresh Token 存入数据库/Redis
- 前端携带 Access Token 发起请求,过期后服务端返回 401
- 前端拦截 401 响应,携带 Refresh Token 调用专用刷新接口
- 服务端校验 Refresh Token 的合法性、是否在黑名单、是否绑定对应用户
- 校验通过,签发新的 Access Token,可选同步刷新 Refresh Token(滑动有效期)
- 前端用新的 Access Token 重新发起原请求,用户完全无感知
- 校验失败,直接清空令牌,强制用户重新登录
安全补充
- Refresh Token 必须加密存储,每次刷新可轮换,降低泄露风险
- 用户登出、密码修改、权限回收时,将 Refresh Token 和对应 Access Token 的 jti 同步加入黑名单
3. 分布式系统落地架构
- 网关层统一验签:API 网关(Spring Cloud Gateway、Kong、APISIX)统一拦截所有请求,完成 JWT 全量校验,验签通过后将用户信息透传给下游微服务
- 下游服务免重复验签:直接信任网关透传的用户信息,大幅提升集群性能
- 统一密钥管理:签发服务单独持有私钥,网关/下游服务仅分发公钥,杜绝私钥泄露风险
- 分布式黑名单:基于 Redis 集群实现,全节点共享,保证作废令牌全网即时生效
八、常见误区与避坑指南
- 误区 1:JWT 的 Payload 是加密的,可以放敏感信息
- 纠正:Base64URL 是编码而非加密,任何人都可解码,Payload 是明文状态,绝对禁止存放敏感信息
- 误区 2:JWT 比 Session-Cookie 更安全
- 纠正:无绝对的安全性高低,两者有不同的安全风险,核心在于正确的安全配置,而非技术本身
- 误区 3:JWT 可以完全替代 Session
- 纠正:两者是互补而非替代关系,JWT 适合分布式、跨域、多端场景;Session 适合需要实时权限控制、强制登出、会话管理的场景
- 误区 4:验签通过就可以完全信任 Payload 内容
- 纠正:高敏感操作必须二次校验权限和用户状态,防止令牌窃取后被滥用
- 误区 5:JWT 有效期越长越好,用户体验更好
- 纠正:有效期越长,安全风险越高,必须用「短访问令牌 + 长刷新令牌」平衡安全与体验
- 误区 6:HS256 和 RS256 安全性一致
- 纠正:HS256 是对称算法,密钥必须严格保密;RS256 是非对称算法,公钥可公开,安全性和适用场景完全不同,存在算法替换攻击风险
- 误区 7:JWT 必须放在 Authorization 请求头中
- 纠正:这是标准 Bearer 方案,推荐使用;但防 XSS 场景下,优先放在 HttpOnly Cookie 中,安全性更高
九、横向对比与边界认知
1. JWT vs Session-Cookie 核心对比
| 对比维度 | JWT | Session-Cookie |
|---|---|---|
| 状态存储 | 客户端存储,服务端无状态 | 服务端存储 Session,客户端仅存 SessionID |
| 分布式适配 | 天然支持,无额外开发 | 需要 Session 共享,复杂度高 |
| 跨域支持 | 原生支持,无限制 | 受同源策略限制,跨域配置复杂 |
| 多端适配 | 全端完美支持 | 移动端/IoT 适配性差 |
| 核心安全风险 | XSS 窃取、不可撤销、篡改 | CSRF、Session 劫持、固定会话 |
| 服务端压力 | 低,仅验签,无需查库 | 高,每次请求需查询 Session 存储 |
| 网络开销 | 较高,令牌体积大 | 低,仅 SessionID |
| 权限实时性 | 差,需等待令牌过期 | 好,服务端可实时修改 |
| 强制登出 | 需额外黑名单机制 | 原生支持,直接删除 Session 即可 |
2. JWT 与 OAuth2.0 的关系
- 本质区别:两者不是同一层面的概念
- JWT:令牌的格式规范,是一种令牌的实现形式
- OAuth2.0:授权协议框架,定义了授权的流程、角色与模式
- 关联关系:OAuth2.0 的授权码、密码等模式,最终签发的 Access Token,可以用 JWT 格式实现;JWT 是 OAuth2.0 的主流令牌实现方案,两者是互补关系,而非对等关系
3. JWT 与 SSO 单点登录的关系
- SSO 核心目标:一次登录,多系统/多域名访问
- JWT 是 SSO 的优秀实现方案:用户在统一认证中心登录后签发 JWT,多个业务系统共享验签公钥,无需与认证中心重复交互,即可完成身份校验,极简实现跨域、跨系统的单点登录
- 优势:相比 CAS 等传统 SSO 方案,JWT 实现的 SSO 无需多次重定向,性能更高,多端适配性更强
十、进阶场景与解决方案
1. 令牌撤销与强制登出的分级方案
| 方案等级 | 实现方式 | 适用场景 |
|---|---|---|
| 轻量级 | 短 Access Token 有效期+Refresh Token 黑名单,用户登出仅作废 Refresh Token,Access Token 自然过期 | 中小规模系统、非核心业务、低安全要求场景 |
| 中量级 | Redis 分布式黑名单,将需作废的令牌 jti 存入黑名单,过期时间与令牌 exp 一致,验签时先查黑名单 | 中大型系统、核心业务、高安全要求场景 |
| 重量级 | 令牌版本号机制,用户表维护 token_version,签发时存入 Payload,用户状态变更时升级版本号,验签时校验与数据库是否一致 | 超大规模系统、金融/政务等高安全等级场景 |
| 紧急方案 | 密钥轮转,立即更换签名密钥,旧密钥签发的所有令牌全部失效 | 密钥泄露、大规模安全事件等紧急场景 |
2. 细粒度权限控制方案
- 极简方案:JWT 仅存放用户 ID/角色 ID,服务端/网关二次查询细粒度权限,保证权限实时性
- 平衡方案:JWT 存放权限哈希,服务端校验哈希与当前用户权限哈希是否一致,不一致则拒绝,平衡性能与实时性
- 分布式方案:网关层集成统一权限中心,完成接口权限的统一校验,下游服务无需处理权限逻辑
3. 多租户场景适配
- 基础方案:Payload 中增加
tenant_id租户 ID 字段,网关验签后透传给下游服务,实现多租户数据隔离 - 高安全方案:不同租户使用独立的签名密钥,进一步提升租户隔离性与安全性
4. 离线认证场景
内网/离线环境下,客户端可本地完成 JWT 签名校验,无需联网与服务端交互,完美适配 IoT 设备、离线工业系统、内网应用等场景。
核心使用原则总结
- 扬长避短:充分发挥 JWT 无状态、跨域、多端适配的优势,通过配套机制规避不可撤销、明文泄露的天生缺陷
- 安全优先:永远将安全放在第一位,短有效期、非对称算法、HTTPS、HttpOnly 存储、黑名单机制为核心安全底线
- 场景适配:不盲目跟风使用 JWT,根据业务场景选择技术方案,需要实时权限控制、强会话管理的场景需搭配额外机制,或选择 Session 方案
- 最小权限原则:Payload 仅存放必要的非敏感信息,字段越少越好,降低泄露风险与令牌体积
