JWT 中签名和验证机制的目的是什么?

问题描述 投票:0回答:1

如果我错了,请纠正我。基于 JWT 的身份验证以这种方式工作:服务器从客户端接收带有 JWT 令牌的请求,然后使用其他令牌(密钥、Azure 公钥等)对其进行验证,最后 JWT 是否通过验证,这就是我们的方式验证用户。但是这个签名令牌的目的是什么并验证它?如果我以某种方式窃取此 JWT 并将其与请求一起发送到服务器 - 它仍会成功验证我吗?如果是,那么简单令牌(未签名表示您未验证)和 JWT 之间有什么区别?

security jwt
1个回答
0
投票

在您描述的用例中,在保证 presenting 方方面,简单令牌和 JWT 之间没有区别,因为 JWT 用作所谓的不记名令牌。然而:

  1. JWT 上的签名允许接收者识别和验证 jWT 的发行者,这使得区分不同的令牌发行方及其相关信任级别成为可能
  2. a JWT 包含结构化格式的可验证信息,易于接收者解析。此信息可用于 - 可能是委托 - 访问控制目的,这使得 JWT 比简单令牌更通用。
  3. JWT may 还包含以可验证的方式识别和呈现者的信息(Proof-of-Possession,正在开发的扩展),这将是对不记名令牌的改进
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.