我正在努力了解 Golang 中的 JWT 令牌。我正在使用github.com/dgrijalva/jwt-go。让我措手不及的是我可以输入多个有效签名。例如,前往http://jwt.io - 输入 MySuperSecretKey 作为秘密此令牌有效:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0NTc3MzAyODMsInVzZXIiOiJ1c2VyMSJ9.SxshVL42DUH9e7jXUblbB_bTwKxhe4jo70Drvb还有这个:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0NTc3MzAyODMsInVzZXIiOiJ1c2VyMSJ9.SxshVL42DUH9e7jXUblbB_bTwKxhe4jo70Drvb事实上,如果我将最后一个字母更改为 V、W 或 X,我会收到“签名验证”消息。谁能告诉我这里发生了什么?
1 回答
德玛西亚99
TA贡献1770条经验 获得超3个赞
它是签名的 Base64 编码,可以将最后一个字母更改为某些目标,而不会影响相关位。
尝试将两个签名都弹出到 base64->hex 解码器中,您将获得相同的结果。事实上,在https://conv.darkbyte.ru/两个签名都被重新评估为 base64 SxshVL42DUH9e7jXUblbBbTwKxhe4jo70DrvbQMlaQ==
- 1 回答
- 0 关注
- 241 浏览
添加回答
举报
0/150
提交
取消