JWT可以为客户独家吗？

Question

我是认证和JWT概念的新手。我在jsonwebtoken的帮助下修改了我的Sails应用程序以生成JWT。我这样签下JWT：jwt.sign(payload, secret, { expiresInMinutes: 120 });

1. 这是否意味着有权访问令牌的客户端可以访问受保护的资源？
2. 如何使用有效载荷？我应该将用户代理字符串保存在有效负载中并在客户端上进行验证吗？

Answer 1

是的，拥有该令牌的任何人都可以调用您的API。这就是为什么一切都应该通过SSL，并且到期应该与它正在做的事情的敏感性一致。

JWT通常会在Authorization标题上发送：

Authorization: Bearer {your token here}

顺便说一句，你可以在这里测试内容/签名：http://jwt.io