如果你能解码JWT,它们是如何安全的?我爱JWT。和他一起工作真的很有趣。我的问题是:如果我得到一个JWT,并且能够解码有效载荷,这有多安全?我就不能从报头中获取令牌,解码并更改有效负载中的用户信息,并将其用相同的正确编码秘密发送回来吗?我知道它们必须是安全的,但我真的很想了解这些技术。我遗漏了什么?谢谢!
3 回答
饮歌长啸
TA贡献1951条经验 获得超3个赞
jwt.io
最简单的原因是因为它认为这在很大程度上是一个已解决的问题。例如,如果处理像web浏览器这样的客户端,则可以将JWT令牌存储在以下cookie中 secure + httpsOnly(Javascript+不能通过HTTP读取)并通过加密通道(HTTPS)与服务器进行对话。一旦您知道您在服务器和客户端之间有了一个安全的通道,您就可以安全地交换JWT或您想要的其他任何东西。 这让事情很简单。一个简单的实现使采用更容易,但它也允许每个层做它最好的事情(让HTTPS处理加密)。 JWT不是用来存储敏感数据的。一旦服务器接收到JWT令牌并对其进行验证,就可以在自己的数据库中查找用户ID,以获得该用户的其他信息(如权限、邮政地址等)。这使得JWT体积小,避免了无意中的信息泄漏,因为每个人都知道JWT中不保存敏感数据。
慕桂英3389331
TA贡献2036条经验 获得超8个赞
添加回答
举报
0/150
提交
取消