JSON Web 令牌 (JWT) 不安全

JSON Web 令牌可用于在没有数据库的情况下本地验证用户，但这会导致巨大的安全问题。

Randall Degges

Okta 开发者倡导负责人

需要明确的是：本文并非主张您永远不要使用 JWT，而是指出 JWT 不适合用作会话机制，并且像这样使用它很危险。它们确实存在其他领域的有效用例。

Sven Slootweg

Cryto.net，停止使用 JWT 进行会话

我不在乎您是否想使用无状态客户端令牌。它们很好。您应该了解操作限制（它们可能会让您在周五晚上忙于部署令牌黑名单），但我们都是成年人，您可以自己决定。JWT 的问题在于，它没有带来任何好处，但带来了很多可怕的复杂性。更糟糕的是，您作为开发人员不会看到这种复杂性：JWT 看起来像是一个简单的令牌，带有一个神奇的密码学保护的属性包接口。所有问题都在幕后。

Thomas H. Ptacek

Hacker News 上一位著名的安全研究人员