我正在为我的应用使用json网络令牌。
当我登录我的网站并希望查看用户登录的用户时,我有一个先前存储的令牌,其中包含HS256中编码的所有必需数据。
我是否应该使用此令牌有效负载来显示" Hello ..."和有效负载内的用户名,或者我应该解码令牌服务器端并从那里检索用户数据?
是否有任何客户端库可以解码HS256供我使用? 或者这是不好的做法,应该避免。
答案 0 :(得分:2)
JWT是独立的,受数字签名保护。您可以完美地使用令牌中包含的信息,但您应该验证到期时间并确保数字签名未被更改。
要验证客户端的签名,您需要密钥是不对称的,并使用公钥进行验证。可以将令牌发送到服务器,以免您出现问题。取决于操作可能会冒险,只要令牌用于服务器上的autenthication并执行验证
是否有任何客户端库可以解码HS256供我使用?或者这是不好的做法,应该避免。
实际上,您不需要任何库。有效负载是base64 url编码的,可以用任何编程语言轻松解码。您需要一个库来验证数字签名。看看jwt.io