首頁猿問如果你能解碼JWT，它們是如何安全的？

如果你能解碼JWT，它們是如何安全的？

SpringBoot

繁星點點滴滴 2019-12-18 12:13:33

如果你能解碼JWT，它們是如何安全的？我愛JWT。和他一起工作真的很有趣。我的問題是：如果我得到一個JWT，并且能夠解碼有效載荷，這有多安全？我就不能從報頭中獲取令牌，解碼并更改有效負載中的用戶信息，并將其用相同的正確編碼秘密發(fā)送回來嗎？我知道它們必須是安全的，但我真的很想了解這些技術。我遺漏了什么？謝謝!

查看完整描述

3 回答

一只名叫tom的貓

TA貢獻1906條經(jīng)驗獲得超3個贊

JSON Web令牌(JWT)中的內容本質上并不安全，但是有一個內建特性來驗證令牌的真實性。JWT是由句點分隔的三個散列。第三是簽名。在公鑰/私鑰系統(tǒng)中，發(fā)行人用只能由其相應的公鑰驗證的私鑰簽名令牌簽名。

理解發(fā)行人和驗證者之間的區(qū)別是很重要的。令牌的接收方負責驗證它。

在Web應用程序中安全使用JWT有兩個關鍵步驟：1)通過加密的通道發(fā)送它們；2)在接收到簽名后立即驗證簽名。公鑰密碼體制的非對稱性使得JWT簽名驗證成為可能。公鑰驗證JWT是由其匹配的私鑰簽名的。沒有任何其他組合鍵可以執(zhí)行此驗證，從而防止模擬嘗試。按照這兩個步驟，我們可以用數(shù)學上的確定性來保證JWT的真實性。

更多閱讀：公鑰如何驗證簽名？

反對回復 2019-12-19