解密JWT令牌没有秘密
我使用JWT的私钥创建了一个令牌,但是当我尝试在http://kjur.github.io/jsjws/tool_jwt.html上解码它时,我发现令牌可以在没有给定任何密钥的情况下解码。 那么JWT令牌只是一个签名是否正确? 如何在没有密钥的情况下保持令牌不被解码?
JWT可以使用两种公钥/私钥:签名和加密。
如果您使用私钥进行签名,它允许收件人通过不隐藏其他人的内容(机密性)来识别JWT的发件人和邮件的完整性。 请注意,它将是发件人的私钥,用于签署JWT并生成JSON Web签名(JWS)对象。 显然这适用于您正在查看的智威汤逊。
使用公钥加密时,可以用来隐藏除预期收件人之外的任何人的内容。 结果是一个JSON Web加密对象。 请注意,这将是用于加密JWT的收件人的公钥。 显然这就是你要找的。
参见:http://jose.readthedocs.org/en/latest/
链接地址: http://www.djcxy.com/p/86667.html