8.3. JWT

    分为三个部分,分别为header/payload/signature。其中header是声明的类型和加密使用的算法。payload是载荷,最后是加上

    • 是否支持修改算法为none/对称加密算法
    • 删除签名
    • 插入错误信息
    • kid字段是否有SQL注入/命令注入/目录遍历
    • jwk元素是否可信
    • 是否强制使用白名单上的加密算法
    • 其中是否存在敏感信息
    • 检查是否强制检查签名
    • 密钥是否可以爆破
    • 是否可以通过其他方式拿到密钥
    • 重放
    • 通过匹配校验的时间做时间攻击
    • 修改算法RS256为HS256
    • 弱密钥破解