我有一个使用AWS Lambda函数的无服务器Web应用程序。对于JSON Web令牌(JWT),您可以指定有效负载。是否可以指定
之类的有效负载user: example@any.com
authorization-level: admin
并使用生成的令牌不仅可以授权用户,还可以验证用户身份? (例如,从技术上讲,用户甚至无需登录即可访问API并获取个人信息,因为令牌具有用户电子邮件,我们会对其进行验证并返回相关的有效负载)
这是否是重大的安全漏洞?
答案 0 :(得分:0)
只要不使用NONE进行签名算法,将JWT用于身份验证和授权就可以了。签名保证用户没有篡改有效载荷。