什么是 JWT 验证？

JWT 验证用于检查 JWT Token 的签名是否有效，确保 Token 未被篡改且由可信方签发。

算法类型

• HMAC (HS256/384/512): 对称加密，使用相同密钥签名和验证
• RSA (RS256/384/512): 非对称加密，使用私钥签名、公钥验证
• ECDSA (ES256/384/512): 椭圆曲线数字签名，更短的密钥长度

验证步骤

1. 解析 JWT Token 的三个部分
2. 使用密钥/公钥重新计算签名
3. 对比计算的签名与 Token 中的签名
4. 检查时间声明（exp、nbf）的有效性

常见错误

• signature verification failed: 密钥不匹配或 Token 被篡改
• "exp" claim timestamp check failed: Token 已过期
• "nbf" claim timestamp check failed: Token 尚未生效
• Invalid compact JWS: Token 格式错误

安全提示

• 始终验证签名，不要仅解码 Token
• 检查 exp 声明，拒绝过期的 Token
• 验证 iss 和 aud 声明是否符合预期
• 生产环境推荐使用 RS256 等非对称算法