猿问

如果你能解码JWT,它们是如何安全的?

如果你能解码JWT,它们是如何安全的?

我爱JWT。和他一起工作真的很有趣。我的问题是:如果我得到一个JWT,并且能够解码有效载荷,这有多安全?我就不能从报头中获取令牌,解码并更改有效负载中的用户信息,并将其用相同的正确编码秘密发送回来吗?

我知道它们必须是安全的,但我真的很想了解这些技术。我遗漏了什么?谢谢!


holdtom
浏览 1573回答 3
3回答

天涯尽头无女友

JSON Web令牌(JWT)中的内容本质上并不安全,但是有一个内建特性来验证令牌的真实性。JWT是由句点分隔的三个散列。第三是签名。在公钥/私钥系统中,发行人用只能由其相应的公钥验证的私钥签名令牌签名。理解发行人和验证者之间的区别是很重要的。令牌的接收方负责验证它。在Web应用程序中安全使用JWT有两个关键步骤:1)通过加密的通道发送它们;2)在接收到签名后立即验证签名。公钥密码体制的非对称性使得JWT签名验证成为可能。公钥验证JWT是由其匹配的私钥签名的。没有任何其他组合键可以执行此验证,从而防止模拟尝试。按照这两个步骤,我们可以用数学上的确定性来保证JWT的真实性。更多阅读:公钥如何验证签名?
随时随地看视频慕课网APP
我要回答