jwt exp iat 類型

2024年3月27日發(作者：君士坦丁堡的陷落)

JWT（Json Web Token）是一種用于在網絡上傳輸聲明的開放標準

（RFC 7519）。它由一系列點分隔的部分組成，每個部分使用

Ba64 編碼以獲取 JSON 對象，并使用 HMAC 算法對其進行簽名以

保證其完整性。JWT 可以通過預共享密鑰和公開/私有密鑰對生成和驗

證，因此可以確保發送方的聲明不會被篡改。

在 JWT 中，通常會包括一些標準聲明（例如：iss（發行人），sub

（主題），aud（受眾），exp（過期時間）和 iat（發行時間）等）。

其中，exp 表示 Token 的過期時間，如果當前時間超過了 exp 設定的

時間，Token 就會被拒絕。iat 則表示 Token 的發行時間，用來驗證

Token 是否在某個時間之后才有效。

exp 和 iat 都是 JWT 中的標準聲明，它們分別代表了 Token 的過期

時間和發行時間。在使用 JWT 的過程中，了解它們的類型和含義是非

常重要的。

1. exp（過期時間）

exp 聲明指定了 Token 的過期時間。它的值是一個數值類型的時間戳，

代表的是從 1970 年 1 月 1 日 00:00:00 UTC 時間開始，經過的秒數。

當 Token 的 exp 聲明已經過期時，驗證 Token 的接收方應當拒絕接

受 Token，并提示 Token 已過期。

如果 exp 設置為 xxx，則表示 Token 將在從 1970 年 1 月 1 日

00:00:00 UTC 開始的 xxx 秒之后過期。接收方可以通過當前時間與

exp 的對比來判斷 Token 是否已經過期。

2. iat（發行時間）

iat 聲明指定了 Token 的發行時間。它的值同樣是一個數值類型的時

間戳。當接收方驗證 Token 時，可以通過 iat 來判斷 Token 是否在某

個時間之后才有效。

如果 iat 設置為 xxx，則表示 Token 將在從 1970 年 1 月 1 日

00:00:00 UTC 開始的 xxx 秒之后開始生效。接收方可以通過當前時間

與 iat 的對比來判斷 Token 是否已經可以使用。

對于 exp 和 iat 聲明，使用數值類型的時間戳可以帶來更高的精度和

可靠性，因為時間戳是一個相對簡潔和通用的表示時間的方式，可以

方便地進行比較和計算。

在實際應用中，開發者可以根據自己的需求和場景來合理設置 exp 和

iat 的值。通常情況下，exp 聲明應該設置為一個合理的過期時間（比

如幾個小時或幾天），以提高 Token 的安全性和可控性；iat 聲明可

以根據具體情況設置，以確保 Token 在所需的時間之后才生效。

了解和合理使用 JWT 中的 exp 和 iat 聲明對于保障系統的安全性和可

靠性至關重要。在實際開發中，開發者應當充分理解這兩個聲明的含

義和使用場景，并根據實際需求來設置它們的值，以達到更好的安全

性和可控性。