当有效负载已更改时,JSON Web令牌不会失效

时间:2017-12-08 16:25:31

标签: security asp.net-web-api asp.net-identity jwt json-web-token

我刚注意到我的JWT设置存在严重缺陷 - 我有一个WebAPI项目,并使用本指南here中设置的JWT进行身份验证。

我将用户ID作为令牌有效负载的一部分发送给他们。当他们只能从API中检索属于他们的资源时就是如此。

我注意到的问题如下:如果我:

  1. 致电develop并从服务器获取JWT
  2. 获取令牌并在https://jwt.io/
    3. 上对其进行解码
  3. 更改有效负载,以便login()(我发送以识别用户)是另一个ID
  4. 在API调用中使用新的编码标记
  5. 该API接受该令牌,可用于检索不属于该用户的资源。

    6. 当用户更改有效负载时,为什么令牌无效?这是否会破坏令牌的目的?

0 个答案:

没有答案
相关问题
最新问题