如果我错了,请纠正我。基于 JWT 的身份验证以这种方式工作:服务器从客户端接收带有 JWT 令牌的请求,然后使用其他令牌(密钥、Azure 公钥等)对其进行验证,最后 JWT 是否通过验证,这就是我们的方式验证用户。但是这个签名令牌的目的是什么并验证它?如果我以某种方式窃取此 JWT 并将其与请求一起发送到服务器 - 它仍会成功验证我吗?如果是,那么简单令牌(未签名表示您未验证)和 JWT 之间有什么区别?
在您描述的用例中,在保证 presenting 方方面,简单令牌和 JWT 之间没有区别,因为 JWT 用作所谓的不记名令牌。然而: