3回答

天涯尽头无女友

JSON Web令牌(JWT)中的内容本质上并不安全，但是有一个内建特性来验证令牌的真实性。JWT是由句点分隔的三个散列。第三是签名。在公钥/私钥系统中，发行人用只能由其相应的公钥验证的私钥签名令牌签名。理解发行人和验证者之间的区别是很重要的。令牌的接收方负责验证它。在Web应用程序中安全使用JWT有两个关键步骤：1)通过加密的通道发送它们；2)在接收到签名后立即验证签名。公钥密码体制的非对称性使得JWT签名验证成为可能。公钥验证JWT是由其匹配的私钥签名的。没有任何其他组合键可以执行此验证，从而防止模拟尝试。按照这两个步骤，我们可以用数学上的确定性来保证JWT的真实性。更多阅读：公钥如何验证签名？

0 0

0