JWT 到底安全吗？

✅ 安全的核心保障

• 签名机制（最关键！）
  
  
  
  • JWT 由三部分构成：Header.Payload.Signature
    
  • Signature = 用密钥对前两部分加密（如 HS256 算法）
    
  • 篡改检测：如果有人修改了 Header/Payload，无法重新生成准确的 Signature
    
  • 示例：eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c
    
  
  
• 加密传输
  
  
  
  • 必须共同 HTTPS 使用，防止 Token 被中心人截获
    
  
  

⚠️ 安全隐患（常见误区）

• Token 泄漏 → 别人拿到你的 Token 就能假冒你（和身份证丢失同理）
  
• 无法主动失效 → JWT 天然无状态，签发后无法强制使其过期（除非改密钥）
  
• 敏感信息袒露 → Payload 是 Base64 编码的（不是加密！），不要存密码等敏感数据
  

---

二、为什么有人用 Redis 共同 JWT？