169becd6a1f7 ·

文章有一些错误，摘要、签名、编码、加密是不同的三个概念，这里被混淆了。
使用base64url是把JSON编码，其实只不过是先扁平化再用64个可读无冲突字符来表达，毫无加密效果。SHA256的摘要只是为JSON数据生成一个“指纹”，防止被篡改，属于完整性范畴，也无任何加密效果，摘要不等于签名，签名是用私钥加密摘要。所以Token本身并没有任何加密机制，它依赖于HTTPS的通道保密能力。不过应该可以自己为Token增加加密机制，这就带来了额外的开销。

c792d2b9f450 评论自什么是 JWT -- JSON WEB TOKEN