Engineer Interview Hub
安全性 中階

JWT 最佳實踐與安全注意事項

AI 練習作答

請說明 JWT 的組成與使用上的安全注意事項。

JWT 結構

Header.Payload.Signature,三段用 Base64URL 編碼後以點分隔。

安全注意事項

1. 使用強演算法

使用 RS256(非對稱)或 HS256(對稱),禁用 alg: none

2. 設定合理過期時間

Access Token 短效(15分鐘),搭配 Refresh Token 延長登入狀態。

3. 儲存位置

  • HttpOnly Cookie:防 XSS 竊取,但需防 CSRF。
  • Memory(變數):防止持久化竊取,但頁面刷新後需重新獲取。
  • 避免存在 localStorage:易被 XSS 讀取。

4. Token 撤銷

JWT 本身無狀態,無法直接撤銷。解法:黑名單機制(Redis 存放失效 Token)或使用短 TTL。

5. 驗證所有 Claims

驗證 exp(過期)、iss(發行者)、aud(受眾)。

✦ AI 模擬面試

輸入你的答案,AI 即時分析精準度與改進空間

登入後即可使用 AI 評分

← 上一題

CSRF 跨站請求偽造與防禦

下一題 →

密碼雜湊:bcrypt vs Argon2