为了账号安全,请及时绑定邮箱和手机立即绑定

如果你能解码JWT,它们是如何安全的?

如果你能解码JWT,它们是如何安全的?

holdtom 2019-07-16 15:12:00
如果你能解码JWT,它们是如何安全的?我爱JWT。和他一起工作真的很有趣。我的问题是:如果我得到一个JWT,并且能够解码有效载荷,这有多安全?我就不能从报头中获取令牌,解码并更改有效负载中的用户信息,并将其用相同的正确编码秘密发送回来吗?我知道它们必须是安全的,但我真的很想了解这些技术。我遗漏了什么?谢谢!
查看完整描述

3 回答

?
天涯尽头无女友

TA贡献1831条经验 获得超9个赞

JSON Web令牌(JWT)中的内容本质上并不安全,但是有一个内建特性来验证令牌的真实性。JWT是由句点分隔的三个散列。第三是签名。在公钥/私钥系统中,发行人用只能由其相应的公钥验证的私钥签名令牌签名。

理解发行人和验证者之间的区别是很重要的。令牌的接收方负责验证它。

在Web应用程序中安全使用JWT有两个关键步骤:1)通过加密的通道发送它们;2)在接收到签名后立即验证签名。公钥密码体制的非对称性使得JWT签名验证成为可能。公钥验证JWT是由其匹配的私钥签名的。没有任何其他组合键可以执行此验证,从而防止模拟尝试。按照这两个步骤,我们可以用数学上的确定性来保证JWT的真实性。

更多阅读:公钥如何验证签名?


查看完整回答
反对 回复 2019-07-16
  • 3 回答
  • 0 关注
  • 1507 浏览
慕课专栏
更多

添加回答

举报

0/150
提交
取消
意见反馈 帮助中心 APP下载
官方微信