我打算加密JWT访问令牌并将其存储在AsyncStorage(React Native)中。我将使用PIN码对令牌进行加密,并在每次应用启动时请求PIN码。我将使用PIN码解密访问令牌并将其存储在我的状态下以备后用。
这是一种安全的方法吗?
答案 0 :(得分:0)
首先,JWT不加密数据(即令牌的Header和Payload部分)。它仅使用Base64Url进行编码,无需任何秘密密钥即可对其进行解码。
JWT用于网络请求中,对签名部分进行签名/加密,以确保在途中不对标头和有效负载数据进行操作。
因此,如果您想安全地存储访问令牌,JWT不会为您提供帮助。您可以尝试使用bcrypt加密数据并将PIN用作crypt-salt。