我从JWT开始,我在base64上对我的令牌进行了解密测试,我实际上解密了它,除了我没有解密它的签名部分,我的问题是:JWT令牌是否正常解密它? 如果这是正常的,我该如何防止这种情况。
我正在使用算法 HS256
感恩
问问题
110 次
您拥有的不是加密令牌(JWE => RFC7516),而是签名令牌(JWS => RFC7515)。
算法 HS256 是RFC7518 第 3.2 节中引用的签名算法。
使用签名令牌,有效负载不会加密,而仅使用 Base 64 Url Safe 数据编码进行编码(请参阅RFC4648)。