我正在使用System.IdentityModel.Tokens.jwt库来获取jwt访问令牌,在我调用WriteToken之后,我可以从另一个程序中的ReadToken中获取访问令牌值。那么默认情况下,访问令牌实际上并没有加密?
答案 0 :(得分:0)
未加密,但应签名以防止篡改。
jwt library使用ValidateToken
方法使用您的令牌签名证书或密钥检查令牌签名是否正确。
您需要依靠SSL进行加密。 This Blog post提供了有关签名和加密令牌之间区别的更多细节。
如果你觉得Oauth2.0依赖SSL听起来有点疯狂,那么你就不会孤军奋战。查看Oauth2.0上的Eran Hammer's thoughts以及他为什么离开它。