一、概述
1、JWT 分为三个部分:Header、Payload 和 Signature
2、Header 部分:
{
"alg": "HS256",
"typ": "JWT"
}
3、Payload 部分:
{
"sub": "1234567890",
"name": "John Doe",
"iat": 1516239022
}
4、Signature 部分,真正被加密的就是
jwt 都是 base64 加密,
二、攻击手法
1、不验证签名:
后端不检验签名,所以我们直接修改 Payload 部分的 name 值,就可以实现越权