面试遇到个怪像： JWT 没用到哈希算法，也没用到不可逆加密啊

SHA256 确实是一种 hash 呀

无言以对

安全散列算法（英语：Secure Hash Algorithm，缩写为 SHA ）
散列和哈希和摘要，指的都是同一种东西吧。

SHA256 不是一种哈希算法？

上面好像打错了，“JWT 签名算法中，一般有两个选择，一个采用 HS256,另外一个就是采用 RS256 。”

老哥是搞前端的么，是的话可以理解你发的帖子

HS256 中用到的 SHA256 是否是一种哈希算法?

你都知道 JWT 是 JSON Web Token 难道不知道 HMAC 是 Hash-based message authentication code ？

@malusama 哈哈哈 看到了好像是
@yxwzaxns 是前端出身，史上最菜面试官

装逼失败了么？

很多东东，不翻译成中文，直接用英文，少了很多扯皮和迷惑

被你这么一搅，我已经不懂 jwt 了。

@HuHui 装逼失败。再看看呗

习惯问题
md5 说成 hash 我也不习惯

亲，咱们这边的建议去了解一下数字签名呢

数字签名 正解

搜索的时候加上"-csdn"

不 是时代变了

数字签名：内容 + 根据内容算出来的签名码。签名码的计算方法各有不同，但是主旨都是为了保证只有内容的生产者才能计算出正确的签名码。篡改内容的人，无法为篡改后的内容算出正确的签名码。

HMAC 的签名码计算方法，粗略可以理解为：哈希函数(内容 + secret key)

当然还有别的计算方法。比如使用非对称加密。比如 RSA 签名：RSA 加密(内容)

最后就是，这个世界上有很多不同的已经被发明出来的哈希函数。除了已经被淘汰（比如 md5 ），还有 rsa256, rsa512 等等。

补充：RSA 签名中，私钥用来加密，公钥用来解密。私钥只有内容生产者知道，公钥所有人都知道。私钥加密的信息只有公钥才能正确解开，反之亦然。篡改者不知道私钥，保证了他无法伪造签名。具体可以去了解一下 https 。