检测到 JSON Web Token
info Web App Scanning 插件 ID 112686
语言:
简介
检测到 JSON Web Token描述
JSON Web Token (JWT) 是一项开放标准 (RFC 7519),它定义了一种数据结构,用于在当事方之间将声明作为 JSON 对象安全地传输。JSON Web Token 可实例化为 JSON Web Signature (JWS) 或 JSON Web Encryption (JWE),具体取决于应用程序安全注意事项。基于 JSON Web Signature 的标记是 API 实现中最常用的标记,并且使用三个以句点分隔的 base64 URL 编码部分构建:
- JSON 对象签名与加密(JOSE)头部:至少描述用于签名或加密(算法)的算法及其所处理内容的类型(类型)。对于 JSON Web Tokens,类型通常设置为“JWT”。
- 有效载荷:包含共享权利要求的JSON对象。索赔可以分为三类:注册(基于规范)、公共或私有,且其名称必须在索赔集中唯一。
- 签名:通过使用特定算法在头部和一个秘密或私钥中计算。这可确保 JSON Web Token 的完整性。
扫描程序检测到存在基于 JSON Web Signature 的标记(包含在输出中提供的信息)。
另见
https://blog.angular-university.io/angular-jwt/
https://cheatsheetseries.owasp.org/cheatsheets/JSON_Web_Token_for_Java_Cheat_Sheet.html
插件详情
严重性: Info
ID: 112686
类型: Check Based
系列: Web Applications
发布时间: 2021/2/8
最近更新时间: 2026/2/11
扫描模板: api, basic, full, mcp, pci, scan