jwt的安全性问题总结
jwt生成的token可以被在线解密,那jwt是如何确保安全的呢?
Jwt:生成token,token不保存在服务端,服务端只做验证,token中携带用户信息,过期时间等信息。分为3段,其中前两段的信息在没有私匙时可以被获取,因为其只是简单的base64加密,安全的确保在第三段签名,签名是需要私匙来解密的。所以程序验证第三段出错说明token被窜改。将报错。一般私匙在服务端保存,例如用户的密码、特定生成的字符串等
。
jwt生成的token可以被在线解密,那jwt是如何确保安全的呢?
Jwt:生成token,token不保存在服务端,服务端只做验证,token中携带用户信息,过期时间等信息。分为3段,其中前两段的信息在没有私匙时可以被获取,因为其只是简单的base64加密,安全的确保在第三段签名,签名是需要私匙来解密的。所以程序验证第三段出错说明token被窜改。将报错。一般私匙在服务端保存,例如用户的密码、特定生成的字符串等
。