使用JSON Web令牌(JWT)进行身份验证和授权

时间:2019-05-06 04:37:40

标签: api security jwt

我有一个使用AWS Lambda函数的无服务器Web应用程序。对于JSON Web令牌(JWT),您可以指定有效负载。是否可以指定

之类的有效负载
user: example@any.com
authorization-level: admin

并使用生成的令牌不仅可以授权用户,还可以验证用户身份? (例如,从技术上讲,用户甚至无需登录即可访问API并获取个人信息,因为令牌具有用户电子邮件,我们会对其进行验证并返回相关的有效负载)

这是否是重大的安全漏洞?

1 个答案:

答案 0 :(得分:0)

只要不使用NONE进行签名算法,将JWT用于身份验证和授权就可以了。签名保证用户没有篡改有效载荷。