1回答

一只萌萌小番薯

JWT 是一个令牌字符串，由一个点'.'字符分隔的三部分组成。每个部分都经过Base64 编码（未加密），因此您可以通过分别对每个部分进行 Base64 解码来获取每个部分的内容。由于 Base64 编码的数据不包含点'.'字符，这使得在任何情况下都可以将其用作分隔符来连接三个部分。三个子字符串的内容，一旦 JWT 被拆分并且每个单独的部分经过 Base64 解码，如下所示：用于签名的算法JSON格式的信息内容签名因此，为了检索令牌带来的信息，需要：在点'.'字符处拆分 JWT采取第二部分，Base64-decode它必须考虑的是，JWT 中包含的信息不受读取保护，而是受到保护以防修改；因此，在不知道证书或加密密钥的情况下能够解码和访问这些信息并没有错。与令牌相关的整个过程有三个参与者：发行者：通常是一个身份验证 API承载者：通常是API 客户端应用程序消费者：通常是需要它响应的API令牌的第三部分，签名，是允许消费者确保令牌未被修改的元素，因此，其中包含的信息可以被信任，因为已由发行人检查/提供.不希望承载者能够检查令牌：它只是希望从验证过程中接收它并将其提供给它想要使用的 API。它最终可以访问内容，这意味着在应用程序的上下文中，接收它的客户端对令牌信息的访问不必构成漏洞。令牌必须通过受保护的通道（如 SSL / https）传递给客户端（并发送回消费者），这是为了保护其他实体对令牌的访问，而不是传递令牌的客户端。消费者和发行者通常（但不一定）只是同一应用程序的不同 API 方法。用于签名的算法可以是对称或非对称加密算法。在第一种情况下，加密密钥必须在发行者和消费者之间共享。尽管这似乎是一个问题，但在发行者也是消费者（或至少它们在同一主机中）的情况下（一种非常常见的情况），情况并非如此。在这种情况下，“共享秘密”确实不与任何人共享。当发行者需要将消费者（一个或多个）分开时，可以使用非对称加密，以便发行者保留私钥，而消费者只拥有公钥。在这种情况下，当然也可以采用对称加密，但“共享秘密”必须真正与不同的消费者共享，因此如果可以安全地完成和维护，则必须进行评估。

0 0

0