## 有問題，提出來 1. 簽名的目的是什么？ 2. Base64是一種編碼，是可逆的，那么我的信息不就被暴露了嗎？ 逐一說明。 ## 簽名的目的 最后一步簽名的過程，實際上是對頭部以及載荷內容進行簽名。一般而言，加密算法對于不同的輸入產生的輸出總是不一樣的。對于兩個不同的輸入，產生同樣的輸出的概率極其地小（有可能比我成世界首富的概率還小）。所以，我們就把“不一樣的輸入產生不一樣的輸出”當做必然事件來看待吧。 所以，如果有人對頭部以及載荷的內容解碼之后進行修改，再進行編碼的話，那么新的頭部和載荷的簽名和之前的簽名就將是不一樣的。而且，如果不知道服務器加密的時候用的密鑰的話，得出來的簽名也一定會是不一樣的。  服務器應用在接受到JWT后，會首先對頭部和載荷的內容用同一算法再次簽名。那么服務器應用是怎么知道我們用的是哪一種算法呢？別忘了，我們在JWT的頭部中已經用alg字段指明了我們的加密算法了。 如果服務器應用對頭部和載荷再次以同樣方法簽名之后發現，自己計算出來的簽名和接受到的簽名不一樣，那么就說明這個Token的內容被別人動過的，我們應該拒絕這個Token，返回一個HTTP 401 Unauthorized響應。 ### 信息會暴露么？ 是的。 所以，在JWT中，不應該在載荷里面加入任何敏感的數據。在上面的例子中，我們傳輸的是用戶的User ID。這個值實際上不是什么敏感內容，一般情況下被知道也是安全的。 但是像密碼這樣的內容就不能被放在JWT中了。如果將用戶的密碼放在了JWT中，那么懷有惡意的第三方通過Base64解碼就能很快地知道你的密碼了。 ### JWT的適用場景 我們可以看到，JWT適合用于向Web應用傳遞一些非敏感信息。例如在上面提到的完成加好友的操作，還有諸如下訂單的操作等等。 其實JWT還經常用于設計用戶認證和授權系統，甚至實現Web應用的單點登錄。在下一次的文章中，我將為大家系統地總結JWT在用戶認證和授權上的應用。