我已经通过Google SignIn在我的应用程序中成功集成了Email/Password和Firebase身份验证。我可以获取与当前登录用户相关的“ idToken”,并通过将其复制粘贴到jwt.io中来确认它确实是JWT(JSON Web令牌)。
但是,解释后的JWT的第三部分通知我无法验证签名。据我了解,Header的{{1}}字段指定用于加密第三部分的算法。
问题 :我需要在服务器端(alg)上解密此第三部分的内容,以便正确验证以下内容的真实性令牌?我假设我必须将某种Java或Private key作为Secret存储在某个地方,但是那有多么安全和我从哪里获得所需的实际密钥/秘密?