我正在研究这个问题:Security and reliability concerns about JSON Web Tokens (JWT),我怀疑是否可以在不调用 DB 的情况下验证 JWT 签名。正如上面 Q 中所述:
<块引用>据我所知,JWT 似乎是一个不断发展的标准。它基本上保存着调用者的数据,因此每次他发出 API 请求时,您都将使用 secret 加密(base64(header) + "." + base64(payload)) 并将其与最后一部分中提供的签名进行比较令牌本身。它避免了必须执行数据库事务。
但是如何在不调用 DB 的情况下获取 secret?是不是每个应用程序都有一个硬编码的字符串?
干杯, 彼得