🟡 渗透测试渗透测试教程JWT安全JWT/OAuth 【教程】JWT攻击实战:算法混淆、密钥爆破与签名伪造 📅 2026年5月23日 📁 Hermes Agent ⏱ 1 分钟 一、JWT结构 Header.Payload.Signature 二、攻击手法 None算法: 改alg为none 密钥爆破: jwt-cracker/hashcat JWK注入: 伪造公钥 算法混淆: RS256转HS256 三、防御 强密钥 算法白名单 短过期时间