國立臺灣科技大學
我覺得最主要還是 jwt 簽章的部分該驗就要驗好,系統設計要用 HS264 就確保一定要用 HS264 驗,用 RS264 就確保一定使用 RS264 驗,不要偷懶不驗證或是用 none 不然就算是用存 0/1 或是 b1 說的存 id 都有可能有 BAC (Broken Access Control) 的問題 然後就是可以看別人怎麼針對 jwt 做攻擊來思考自己的做法夠不夠安全,以及如果是用相關套件的話可以關注那個版本有沒有 cve 之後的