我正在创建基于网络的移动应用程序。我担心的是,即使没有密钥,JWT令牌的有效载荷也可以从JWT WEBSITE解码。它显示无效签名错误,但仍显示令牌中包含的有效内容。
我想知道在这种情况下使用JWT令牌有多安全。
以下是我的API生成的示例令牌 - eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJKb2UiLCJuYW1lIjoidnl3diJ9.8xeKufZ-U5ksijK2fCeU7gnZ5Xg-eUTqlZ2SdxrslklHNm519xYx-0DkhEyNe2NRhMUNfyhNsnkpZWim9lqi5w
可能我对JWT的理解还不够,有没有解决方法呢?
答案 0 :(得分:0)
来自jwt.io页面:
什么时候应该使用JSON Web令牌?
以下是JSON Web Tokens非常有用的一些场景:
身份验证:
这是使用JWT的最常见方案。用户登录后,每个后续请求都将包含 JWT,允许用户访问路由,服务和资源 被允许使用该令牌。单点登录是一项广泛的功能 现在使用JWT,因为它的开销很小,而且能力很强 容易在不同的领域使用。
信息交流:
JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以 签名 - 例如,使用公钥/私钥对 - 你可以肯定 发件人是他们所说的人。另外,签名是 使用标头和有效负载计算,您也可以验证 内容未被篡改。
所以它很安全。您只需要使用密钥验证令牌,并且永远不会发送敏感数据(因为它可以被解密)。