使用JWT的标题部分(https://jwt.io)是什么?我发现如果你删除了那个标题的一部分呢?它并没有失去安全性。
如果JWT仅包含两部分,有效负载和签名:yyyy.zzzz而不是xxxx.yyyy.zzzz。您仍然可以使用该算法检查散列后yyyy是否与zzzz匹配。
答案 0 :(得分:2)
标题描述了应用于JWT的加密操作:加密(JWE)或签名/ mac(JWS),还可以包含一些其他属性,如内容类型(cty)
当已知对象是JWT时,应用程序通常不会使用typ参数。当应用程序可以接收可以包含JWT的数据结构
{"typ":"JWT",
"alg":"HS256"}
alg参数描述用于对JWT进行数字签名/ MAC的算法,enc包含加密算法(如果使用JWE)。此参数可用于JWT实现以解码和验证令牌属性,但如果使用上下文是修复,则可以忽略。