# JWT 利用实验

> `LAB ONLY` | `AUTHORIZED TARGETS ONLY`

该目录用于弱密钥、算法降级和 `kid` 注入的实验复盘，目标是验证控制面，而不是伪造真实第三方令牌。

- 默认工具: [jwt-cracker.py](/Users/x/websafe/03-authentication/jwt/tools/jwt-cracker.py)
- 输出约束: 不暴露真实明文密钥或第三方真实令牌内容
- 关联修复: `token-cookie-storage`, `authz-server-side-recheck`