---

title: JWT 安全实践（HS256 与 RS256、过期与刷新、无状态会话）

keywords:

• JWT
• HS256
• RS256
• 令牌刷新
• 无状态会话

description: 总结 JWT 在生产中的安全实践与配置建议，覆盖签名算法、过期与刷新策略、黑名单与无状态会话实现。

date: 2025-11-25

categories:

• 文章资讯
• 技术教程

---

JWT 安全实践（HS256 与 RS256、过期与刷新、无状态会话）

概述

JWT 因无状态特性便于横向扩展，但需严格的安全配置。本文聚焦签名算法选择、过期/刷新策略与黑名单治理。

关键参数与实践

• 签名算法：
• 单体服务或受控环境可用 HS256
• 分布式/跨服务场景推荐 RS256（公私钥分离，便于密钥轮换）
• 过期与刷新：
• access_token 建议有效期短（如 15–30 分钟）
• refresh_token 建议 7–30 天，并绑定设备/指纹
• 声明（Claims）：
• 使用 iss/aud/sub 明确发行方、受众与主体
• 引入 jti 实现唯一令牌 ID，便于黑名单撤销
• 黑名单与登出：
• 维护 jti 黑名单（如 Redis），在网关层校验拦截
• 刷新令牌时使旧 access_token 失效

验证方法

• 使用公开密钥验证 RS256 签名；周期性轮换私钥并回归测试
• 压测网关的令牌校验延迟与吞吐，评估对 INP 的影响
• 漏洞扫描确保未启用 none 算法、未暴露密钥

注意事项

• 令牌内容不可含敏感信息（仅存标识）；权限由服务端查询
• HTTPS 强制；跨域时配合 SameSite、HttpOnly、Secure Cookie 策略
• 刷新策略需考虑并发与重放攻击，结合设备指纹与一次性令牌