首頁(yè) 猿問(wèn) 如果你能解碼JWT，它們是如何安全的？

如果你能解碼JWT，它們是如何安全的？

SpringBoot

繁星點(diǎn)點(diǎn)滴滴 2019-12-18 12:13:33

如果你能解碼JWT，它們是如何安全的？我愛(ài)JWT。和他一起工作真的很有趣。我的問(wèn)題是：如果我得到一個(gè)JWT，并且能夠解碼有效載荷，這有多安全？我就不能從報(bào)頭中獲取令牌，解碼并更改有效負(fù)載中的用戶信息，并將其用相同的正確編碼秘密發(fā)送回來(lái)嗎？我知道它們必須是安全的，但我真的很想了解這些技術(shù)。我遺漏了什么？謝謝!

查看完整描述

3 回答

一只名叫tom的貓

TA貢獻(xiàn)1906條經(jīng)驗(yàn) 獲得超3個(gè)贊

JSON Web令牌(JWT)中的內(nèi)容本質(zhì)上并不安全，但是有一個(gè)內(nèi)建特性來(lái)驗(yàn)證令牌的真實(shí)性。JWT是由句點(diǎn)分隔的三個(gè)散列。第三是簽名。在公鑰/私鑰系統(tǒng)中，發(fā)行人用只能由其相應(yīng)的公鑰驗(yàn)證的私鑰簽名令牌簽名。

理解發(fā)行人和驗(yàn)證者之間的區(qū)別是很重要的。令牌的接收方負(fù)責(zé)驗(yàn)證它。

在Web應(yīng)用程序中安全使用JWT有兩個(gè)關(guān)鍵步驟：1)通過(guò)加密的通道發(fā)送它們；2)在接收到簽名后立即驗(yàn)證簽名。公鑰密碼體制的非對(duì)稱性使得JWT簽名驗(yàn)證成為可能。公鑰驗(yàn)證JWT是由其匹配的私鑰簽名的。沒(méi)有任何其他組合鍵可以執(zhí)行此驗(yàn)證，從而防止模擬嘗試。按照這兩個(gè)步驟，我們可以用數(shù)學(xué)上的確定性來(lái)保證JWT的真實(shí)性。

更多閱讀：公鑰如何驗(yàn)證簽名？

反對(duì) 回復(fù) 2019-12-19