没有 https 的情况下， jwt 是不是也不安全？

http 就是不安全的

可以这样理解 通信安全和身份校验是两回事

有 https 不是也可以吗

服务端好像从来都不知道请求是不是真正的用户吧，只能说发个凭证给用户，用户每次请求带有这个凭证就认定是这个用户。
这个和 HTTPS / HTTP 没啥关系，HTTPS 的安全，没双向认证的话，只能让用户安全些，服务端该不安全还是不安全。

jwt ，oauth 都是认证方案啊。因为 http 只能传输文本，没有别的更多的信息。不过，你要是说在 jwt 里还打包了你请求的源 ip ，然后通过对比后续请求过来的 ip 是不是和 jwt 中的一致，还是能勉强做一下安全的。但这种别人只要切换网络导致 ip 变动就会自动掉线了

换个说法，抓包拿到用户名密码之后模拟请求，是不是服务端根本分不出请求方是不是真正的用户。

鉴权和加密和防篡改，是几码事

@IvanLi127 走 https 的话，数据加密，可以避免中间抓包吧

jwt 安不安全跟 http 没关系吧

安全是多方面，多环节的。任何一个环节有漏洞就是不安全的。认证只是其中一小步。

jwt 是否安全 和 https 没有关系。

jwt 本身是自洽的。 但是不能明文传输，所以 jwt+https 结合使用就比较安全，比如网站的登录态

jwt 用的是是鉴权和防篡改，而不是考虑加密。jwt 也不存敏感信息
计算机安全是包含认证和授权，而不是仅仅加密。

看你如何定义安全啊

https 只是保证两个点之间中间链路传输的安全，所以通过一些操作也是可以用中间人方式绕过的

@NoKey 得看客户端有没有信任中间人证书咯，不过这个也保不了服务端的安全呀，没双向认证的话只能保客户端不会访问错服务端。

鉴权机制只是安全机制的一部分，不是全部
有人拿着你的银行卡和密码就能取出钱来，银行不会考虑这人是你的亲戚还是绑匪
但是他可以通过行为机制冻结银行卡，如果你的转账目标是可以账户，如果你的金额过大等等，他会冻你的卡
如果你想保证账户安全，你还需要行为检测，账户风控系统，不能只靠鉴权

jwt 有点像景点门票🎫，验票人员只能检验票的真假，但票是不是你的管不了

加密和认证不是一个东西

jwt 包含的信息怎么解开？

JWT 只能保证 token 不能被伪造，没有其他安全功能。
HTTPS 只能保证数据出了终端后不被第三方知道内容，前提是终端是安全的。

在谈安全的时候，往往是谈针对哪种问题是安全的，没有任何一种手段能解决所有安全问题。