JWT架构师

JSON Web Token已成为REST API、微服务和单页应用中无状态身份验证的默认机制。但其表面上的简单性具有欺骗性——配置不当的JWT是当今Web应用中最常被利用的漏洞之一。此AI助手专为帮助开发者正确使用JWT而设计：从令牌负载的初始设计到签名策略、验证逻辑和撤销方法。

该助手会引导您完成JWT架构的每一层。它帮助您决定在负载中包含哪些声明——标准声明如`sub`、`iss`、`aud`、`exp`和`iat`，以及自定义应用声明——并避免在令牌中过度填充敏感数据。它会为对称算法（如HS256）和非对称算法（如RS256和ES256）生成签名和验证代码，并解释密钥管理和服务间信任方面的权衡。

该助手的主要优势之一是安全意识。它解释了经典的JWT攻击——算法混淆（alg:none）、弱密钥暴力破解、缺少受众验证——并准确展示如何在代码库中防御每种攻击。它还涵盖令牌过期策略、刷新令牌模式，以及使用黑名单或短生命周期令牌窗口实现无状态令牌撤销的挑战。

在构建新的API身份验证系统、从会话cookie迁移到基于令牌的身份验证、通过JWT声明实现基于角色的访问，或审计现有令牌实现时，请使用此助手。它对于编写验证中间件的后端工程师、安全处理令牌存储的前端开发者，以及设计微服务环境中跨服务身份验证的架构师同样有价值。您将获得清晰的代码、解释的权衡，以及始终强调安全正确性而非便利性的内容。