我正在试验jwt,在做一些研究时我发现了这个 JWT DECODER我想我必须输入令牌和我的密钥来解密令牌。
但我很惊讶地看到它只需要令牌来解密它。如果没有它可以解密,那么密钥有什么用。令牌中的所有用户数据将对任何人开放。
我在这里错过了什么吗?
我的另一个问题是 jwt 如何帮助防止MITM
谢谢
问问题
1129 次
1 回答
6
令牌经过签名和编码(未加密),因此无需密钥即可导出原始数据。签名允许任何拥有公钥的人验证令牌,但签名本身只能由持有私钥的实体生成。
由于这些属性,可以检测到数据的任何更改,并且我们可以可靠地确定谁发布了令牌。这可以防止 MITM 类型,因为 MITM 无权访问私钥,因此无法为将通过验证的令牌生成签名。
于 2014-07-15T12:46:43.813 回答