简述JWT令牌

JWT全称为JSON Web Token，是一种用于身份验证的开放标准。它是一个基于JSON格式的安全令牌，主要用于在网络上传输声明或者用户身份信息。JWT通常被用作API的认证方式，以及跨域身份验证。

JWT令牌由三部分组成，分别是头部（Header）、载荷（Payload）和签名（Signature）。头部包含了令牌使用的加密算法信息，载荷包含了所需传输的用户信息，签名用于保证令牌的完整性和真实性，防止令牌被篡改。

JWT特点

可以跨语言、跨平台使用，因为它是基于JSON标准的。

可以直接嵌入到HTTP请求头中，方便传输和验证。

令牌的有效期可以通过设置过期时间来进行控制，提高了安全性。

由于令牌中包含了用户信息，因此可以避免频繁查询数据库的情况出现，提高了系统的性能。

JWT使用流程

用户向服务器发送登录请求，服务器进行身份验证，如果验证成功则返回一个JWT令牌给客户端。

客户端收到JWT令牌后，将其保存在本地。每次向服务器发送请求时，在请求的头部中携带该令牌，以便服务器对请求进行身份验证。

服务器收到请求后，从请求头中提取JWT令牌，并进行解析和验证。如果令牌有效，则允许请求继续执行；否则返回错误信息。

生成令牌，校验令牌

例题：

抓包

JWT用于在网络上以 JSON 对象的形式安全地传输信息。JWT 可以在用户和服务之间传递信息，通常用于身份验证和信息交换。

JWT 由三部分组成，每部分之间使用点号.分隔：

Header（头部）：包含了令牌的类型（即 JWT）以及所使用的加密算法。

Payload（载荷）：包含了要传输的信息，比如用户的身份信息、权限等。

Signature（签名）：使用指定的算法对 Header 和 Payload 进行签名，确保数据的完整性和验证发送方的身份。

然而，需要注意的是，由于 JWT 是基于 Base64 编码的，因此其中的信息是可以被解码的，因此不应该在 JWT 中存储敏感信息，如密码等。

丢jwt在线工具里看看

将789修改为admin即可

但是我们还需要知道对称密钥是什么,由此需要一个工具:jwtcracker

知道密钥后对原本的进行修改


成功