专业JWT Token生成工具,支持多种签名算法和自定义配置,本地处理确保数据安全。提供完整开发指南和最佳实践
专业安全的在线JWT工具,支持多种签名算法,本地处理确保数据安全
简单配置参数,即时生成标准JWT令牌
选择加密算法,设置令牌类型和安全密钥
配置用户信息和自定义数据,设置有效期
一键生成令牌,实时查看三部分结构详情
数据本地加密处理,密钥不传输,绝对安全
JSON Web Token(JWT)是一种安全的信息传输标准(RFC 7519),采用JSON格式在网络中传递信息。JWT令牌由三个部分组成:头部(Header)、载荷(Payload)和签名(Signature),用点号(.)连接。
JWT广泛应用于用户登录验证、API权限控制、单点登录等场景,是现代Web开发和微服务架构的重要技术。
存储令牌元信息,包括签名算法和令牌类型
存储具体数据,如用户身份、权限、过期时间等
防篡改保障,确保令牌的安全性和可信性
| 特性 | JWT | Session + Cookie | OAuth 2.0 |
|---|---|---|---|
| 状态管理 | ✅ 无状态,自包含 | ❌ 有状态,需服务端存储 | ✅ 可无状态或有状态 |
| 跨域支持 | ✅ 原生支持CORS | ⚠️ 需要CORS配置 | ✅ 设计支持跨域 |
| 扩展性 | ✅ 水平扩展友好 | ❌ 需共享存储 | ✅ 分布式友好 |
| 安全性 | ⚠️ 无法主动撤销 | ✅ 可即时撤销 | ✅ 细粒度权限控制 |
| 实现复杂度 | ✅ 相对简单 | ✅ 简单传统 | ❌ 较为复杂 |
| 适用场景 | 微服务、API、移动端 | 传统Web应用 | 第三方集成、开放平台 |
登录后颁发JWT令牌,以后访问带上令牌即可自动验证身份
登录一次,全平台通行,多系统无缝切换体验
为RESTful API提供安全防护,精确控制访问权限
在服务间安全传递用户信息,保持上下文一致性
移动端认证首选,无需频繁登录,体验更流畅
在不同系统间安全传送数据,防篡改防伪造
攻击者修改header中的alg字段,从RS256改为HS256,使服务器用公钥作为HMAC密钥验证签名。
使用过短或常见的密钥,容易被暴力破解。
攻击者将算法设为"none",绕过签名验证。
服务端硬编码支持的算法,拒绝"none"算法。
使用至少256位的随机密钥,定期轮换。
避免在localStorage中存储,使用httpOnly Cookie。
提供各主流语言的JWT生成与验证代码示例,包含安全最佳实践和完整错误处理
const jwt = require('jsonwebtoken');
const crypto = require('crypto');
// 生成强密钥
const secret = crypto.randomBytes(32).toString('hex');
function generateJWT(payload) {
try {
const token = jwt.sign(
payload,
secret,
{
expiresIn: '1h',
issuer: 'myapp',
audience: 'myapp-users',
algorithm: 'HS256'
}
);
return { success: true, token };
} catch (error) {
return { success: false, error: error.message };
}
}function verifyJWT(token) {
try {
const decoded = jwt.verify(
token,
secret,
{
algorithms: ['HS256'], // 严格指定算法
issuer: 'myapp',
audience: 'myapp-users'
}
);
return { success: true, data: decoded };
} catch (error) {
if (error.name === 'TokenExpiredError') {
return { success: false, error: 'Token已过期' };
}
if (error.name === 'JsonWebTokenError') {
return { success: false, error: 'Token无效' };
}
return { success: false, error: error.message };
}
}import jwt
import secrets
from datetime import datetime, timedelta
# 生成强密钥
SECRET_KEY = secrets.token_hex(32)
def generate_jwt(payload):
try:
# 添加标准claims
now = datetime.utcnow()
payload.update({
'iat': now,
'exp': now + timedelta(hours=1),
'iss': 'myapp',
'aud': 'myapp-users'
})
token = jwt.encode(
payload,
SECRET_KEY,
algorithm='HS256'
)
return {'success': True, 'token': token}
except Exception as e:
return {'success': False, 'error': str(e)}def verify_jwt(token):
try:
decoded = jwt.decode(
token,
SECRET_KEY,
algorithms=['HS256'], # 严格指定算法
issuer='myapp',
audience='myapp-users'
)
return {'success': True, 'data': decoded}
except jwt.ExpiredSignatureError:
return {'success': False, 'error': 'Token已过期'}
except jwt.InvalidTokenError:
return {'success': False, 'error': 'Token无效'}
except Exception as e:
return {'success': False, 'error': str(e)}import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;
import javax.crypto.SecretKey;
@Service
public class JwtService {
private final SecretKey key = Keys.secretKeyFor(SignatureAlgorithm.HS256);
public String generateJWT(Map<String, Object> claims) {
try {
Date now = new Date();
Date expiry = new Date(now.getTime() + 3600000); // 1小时
return Jwts.builder()
.setClaims(claims)
.setIssuer("myapp")
.setAudience("myapp-users")
.setIssuedAt(now)
.setExpiration(expiry)
.signWith(key, SignatureAlgorithm.HS256)
.compact();
} catch (Exception e) {
throw new RuntimeException("JWT生成失败", e);
}
}
}public Claims verifyJWT(String token) {
try {
return Jwts.parserBuilder()
.setSigningKey(key)
.requireIssuer("myapp")
.requireAudience("myapp-users")
.build()
.parseClaimsJws(token)
.getBody();
} catch (ExpiredJwtException e) {
throw new RuntimeException("Token已过期", e);
} catch (UnsupportedJwtException e) {
throw new RuntimeException("不支持的JWT格式", e);
} catch (MalformedJwtException e) {
throw new RuntimeException("JWT格式错误", e);
} catch (SignatureException e) {
throw new RuntimeException("JWT签名验证失败", e);
} catch (IllegalArgumentException e) {
throw new RuntimeException("JWT参数错误", e);
}
}package main
import (
"crypto/rand"
"encoding/hex"
"time"
"github.com/golang-jwt/jwt/v5"
)
var secretKey []byte
func init() {
// 生成随机密钥
key := make([]byte, 32)
rand.Read(key)
secretKey = key
}
func GenerateJWT(claims map[string]interface{}) (string, error) {
now := time.Now()
token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{
"iss": "myapp",
"aud": "myapp-users",
"iat": now.Unix(),
"exp": now.Add(time.Hour).Unix(),
})
// 添加自定义claims
for k, v := range claims {
token.Claims.(jwt.MapClaims)[k] = v
}
return token.SignedString(secretKey)
}func VerifyJWT(tokenString string) (*jwt.Token, error) {
token, err := jwt.Parse(tokenString, func(token *jwt.Token) (interface{}, error) {
// 验证签名算法
if _, ok := token.Method.(*jwt.SigningMethodHMAC); !ok {
return nil, fmt.Errorf("意外的签名算法: %v", token.Header["alg"])
}
return secretKey, nil
})
if err != nil {
return nil, err
}
// 验证claims
if claims, ok := token.Claims.(jwt.MapClaims); ok && token.Valid {
// 验证issuer
if iss, ok := claims["iss"].(string); !ok || iss != "myapp" {
return nil, fmt.Errorf("无效的issuer")
}
return token, nil
}
return nil, fmt.Errorf("无效的token")
}原因: 签名验证失败,通常是密钥不匹配
原因: Token已过期 (exp claim)
原因: Token尚未生效 (nbf claim)
使用jwt.io等在线工具快速解析和调试JWT
使用Node.js快速验证JWT
在浏览器开发者工具中调试JWT
减少JWT载荷大小,提升传输效率
高效的密钥存储和访问策略
合理的缓存可以显著提升性能
| 算法 | 类型 | 密钥 | 安全性 | 适用场景 |
|---|---|---|---|---|
| HS256 | HMAC | 共享密钥 | 高 | 单体应用、内部系统 |
| RS256 | RSA | 公私钥对 | 很高 | 分布式系统、第三方集成 |
| ES256 | ECDSA | 椭圆曲线密钥 | 很高 | 移动应用、IoT设备 |
A: JWT是无状态的,服务端无需存储;Session需要服务端存储状态。JWT适合分布式系统,Session适合传统单体应用。
A: 建议访问token设置较短过期时间(15-30分钟),刷新token设置较长过期时间(7-30天),实现token刷新机制。
A: 适合存储用户ID、角色权限、过期时间等非敏感信息。不要存储密码、个人隐私等敏感数据。
A: JWT本身无法撤销,可通过维护黑名单、缩短过期时间、使用JTI声明等方式实现token撤销功能。