1
假设我为用户创建一个JWT令牌,并设置有效载荷为:智威汤逊:我有多少可以信任我的有效载荷
['userID'=>1, 'role'=>'user'] 在使用HTTPS和SSL的情况下,它是安全的发送角色或任何其他敏感信息通过负载?发送者有可能操纵有效负载值吗?
UPDATE:现在我知道JWT令牌是可解码的。但是因为它们带有一个签名,所以对这些值的任何更新都会使该令牌无效。如果您希望有效负载完全加密,请尝试使用JWE!
A
回答
1
JWT令牌由发卡行进行数字签名,因此无需修改签名即可对其进行修改。
HTTPS仅用于防止令牌被盗。
2
有效负载中的声明无法用键处理,常见示例是admin = false,客户端和服务器都可以看到该用户不是管理员。如果用户试图操纵令牌(成为管理员),它将无法正确验证。这就是为什么在阅读他们的任何声明之前验证你的代币至关重要。
但是,您通常不会将敏感信息(如信用卡号码)放在其中,因为索赔没有加密,但是没有人应该能够访问您的令牌,否则他们将能够接管您的会话。
有此操作令牌https://jwt.io/
相关问题
- 1. Mashape Kong +智威汤逊无效令牌
- 2. 安全webapi与基于声明的有效智威汤逊
- 3. 智威汤逊和Spring Security
- 4. 智威汤逊与多模式
- 5. 智威汤逊发卡行的核实价值是多少?
- 6. 智威汤逊和类似的方法有多安全?
- 7. 在智威汤逊有效负载中存储敏感数据安全吗?
- 8. 护照与智威汤逊与Google/Facebook战略 - 我如何将智威汤逊与Google/Facebook战略相结合?
- 9. appengine任务有效载荷有多大?
- 10. 智威汤逊和SAML的区别?
- 11. 智威汤逊(OAuth的?)流量
- 12. Rails的设计,智威汤逊,如何
- 13. 解码的OpenID id_token - 智威汤逊
- 14. 我不明白,智威汤逊刷新令牌的行为(LARAVEL)
- 15. 智威汤逊是否可以专属于客户?
- 16. Asp.Net核心,智威汤逊和OpenIdConnectServer
- 17. 智威汤逊验证客户端?
- 18. 智威汤逊 - 如何计算签名
- 19. 智威汤逊签署与PHP
- 20. 智威汤逊全球+私密
- 21. Android SafetyNet智威汤逊签名验证
- 22. 使用智威汤逊在Owin
- 23. Laravel护照VS智威汤逊
- 24. 智威汤逊:为什么我总是得到token_not_provided?
- 25. 智威汤逊关键是无效的HmacSHA256
- 26. 智威汤逊和签名饼干有什么区别?
- 27. 认证与智威汤逊流明没有密码
- 28. 认证具有智威汤逊和刷新令牌
- 29. WSMP中可能的最大有效载荷是多少?
- 30. 处理JWT过期和智威汤逊负载更新
那么,所有的权利,以消费者为纯文本可见的一出戏?我的意思是,如果一个令牌编码为ugly1.ugly2.ugly3字符串,并且秘密不会泄露给消费者,那么如何解密有效载荷? – HPM
查看堆栈溢出文档[JSON Web Tokens介绍](http://stackoverflow.com/documentation/jwt/5213/introduction-to-json-web-tokens/18559/signed-jwt-jws#t = 201608220422564473964)。他们是base64编码的,你不需要一个密钥来解码。 (Google:base64解码) – Alex