一篇介绍JWT攻击面的文章,其中我最感兴趣的是他给出了一个项目,该项目收集了很多的JWT硬编码key,有没有shiro key那味了? https://github.com/wallarm/jwt-secrets 其余的可以看一看,感觉还是颇有收获的。