为什么我极力反对像Jwt.io和在线JSON验证器这样的在线工具

但最重要的是，通过告诉人们放置敏感数据(如凭据、配置文件等)，这对我们的团队来说是一个非常危险的教训。我们正在教导人们在发布潜在的敏感数据时，要盲目相信他们与之没有任何关系，也没有完全审计过源代码的任意网站。

我意识到这可能不是您在本地运行时要做的事情，但是对于在本地运行的知名图书馆来说，它不太可能需要向外访问。

Jwt.io是一个有趣的例子，因为尽管它吹嘘自己是作为客户端解决方案运行的，但您可能还没有意识到，直到去年9月，才确定了一些指标，尽管这些指标看起来可能是无辜的，但它表明，其他功能很容易隐藏在一个看似仅限客户端的网站中。除非你审计每件事，否则每次你都处于危险的境地，你可能会泄露你意想不到的数据。

我觉得我们可以做一些事情来帮助处理潜在敏感数据的服务，帮助教育用户他们应该更加小心，因为jwt.io的警告肯定不会帮助那些没有完全意识到如果jwt.io并不像用户认为的那样值得信任的人有什么风险：

警告：JWT是凭据，可以授予对资源的访问权限。小心你粘贴它们的地方！我们不记录令牌，所有的验证和调试都在客户端完成。

你认为如何？我是不是有点太敏感了？我是不是不够敏感？