我正在使用JSON Web令牌(JWT)进行基于声明的身份验证。为了阻止篡改,我还使用JWS对令牌进行数字签名。
如何验证客户端的签名(我正在使用JWT进行SPA)?
而且,如果我还使用JWE,我怎么能解密令牌客户端?
PS:我当然知道答案:只需使用匹配算法解密和/或验证......我的问题更多的是如何实现这一目标。
答案 0 :(得分:2)
你可以使用JS lib并在客户端帮助计算: http://kjur.github.io/jsrsasign/
:)
答案 1 :(得分:1)
请记住,如果您使用HMAC,这将无法正常工作,因为您必须与客户端共享密码,不建议这样做,因为浏览器无法保密。使用非对称加密,这不是问题,因为浏览器可以使用公钥。