我试图在我的Android应用程序中找到一种验证令牌的方法,但是我在here某处读到“ Android应用程序验证或签名令牌是不寻常的。 “为什么不寻常?这是否意味着无法在本机应用程序中验证令牌?
答案 0 :(得分:0)
让我们了解什么使令牌可用作无状态身份验证代理。基本上,JWT只是一个由3部分组成的json对象
签名方法为sha256(base64(header)+ base64(payload)+“秘密消息”)。
“秘密消息”定义令牌的强度。服务器验证此密钥的令牌的有效性。
现在,如果您想在客户端验证令牌,则肯定需要此密钥。这样做会损害安全性:)
希望我能阐明为什么我们不应该在客户端验证令牌。让我们将验证留给服务器。