我正在构建一个Android应用程序并计划使用Json Web Tokens(JWT)进行身份验证。
一旦我的服务器返回带有生成令牌的响应,在客户端解码令牌以读取用户信息(也称为有效负载)是否有意义,或者我应该严格使用令牌作为身份验证机制并制作第二个请求获取用户的信息?
由于
答案 0 :(得分:3)
与大多数事情一样,这取决于。如果您控制授权服务器(即它是您正在呼叫的API),我在客户端读取令牌内容时并不会发现任何问题。
如果您正在调用第三方API并对您无法控制的服务器进行身份验证,我不会依赖JWT令牌的内容。第三方可能决定更改令牌中的声明,甚至开始加密令牌。