该论文对 JSON Web Token（JWT）实现的安全性进行了系统评估。JWT 被广泛应用于分布式系统中的身份认证和授权，但已知存在多种安全漏洞。作者首先收集了来自 GitHub、Maven、npm 和 Go 生态系统的 43 个 JWT 实现库，包括 22 个 Java 库、11 个 Node.js 库和 10 个 Go 库。接着，他们设计并实现了自动化模糊测试工具 JWT-Fuzzer，该工具能够生成包含 12 种已知 JWT 攻击类型的测试用例，例如签名旁路（将算法改为 'none'）、密钥混淆（如从 RSA 切换到 HS256 并滥用公钥作为 HMAC 密钥）、弱密钥破解（使用已知弱密钥或暴力破解短密钥）、令牌伪造（利用算法混淆或密钥泄露）等。JWT-Fuzzer 对每个库执行黑盒测试，分析其是否容易受到这些攻击。实验结果显示，43 个库中的 35 个（约 81%）存在至少一种安全漏洞。最普遍的漏洞是密钥混淆（28 个库受影响）和弱密钥（12 个库）。此外，作者还发现一些库在签名验证中存在逻辑错误或实现偏差。论文还讨论了漏洞的成因，包括不规范的标准实现、文档不清晰以及开发者对安全性的忽视。最后，作者向相关维护者报告了漏洞，并提出了改进建议。该研究旨在提高 JWT 生态系统的整体安全性。