【笔记】JWT篡改

发表于 更新于 阅读次数:

前言

后端验证JWT时如果支持空加密方式,则可以篡改JWT

正文

  • 将第一段header的加密方式alg的值改为none
  • 重新定义第二段payload中的数据,任意篡改
  • 将第三段signautre废除
  • 只截取前两段作为篡改后的JWT(第三段废弃,但.要保留)
1
xxx.xxx.

完成

参考文献

哔哩哔哩——逆风微笑的代码狗