Security 2026-04-29
2026年JWT安全最佳实践
避免最常见的JWT漏洞: 算法混淆、弱密钥和重放。
JWT为数百万应用提供身份验证,反复发布相同的漏洞。
锁定算法
jwt.verify(token, secret, { algorithms: ['HS256'] });
强密钥
openssl rand -base64 32
短生命周期
访问令牌5-15分钟。
验证每个声明
不要遗漏issuer和audience验证。
存储位置
- 访问: 仅内存
- 刷新: httpOnly cookie
- 禁止: localStorage