0

我正在使用 jsonwebtoken 库来签名和创建用于 API 安全的 JWT,

当我尝试使用有效验证签名并JWT_SECRET_TOKEN在使用错误时引发错误时,代码看起来工作正常JWT_WRONG_TOKEN

但是,当我复制令牌并将其放入https://jwt.io/时,
它会显示Signature Verified我输入的任何秘密。

以下是我的代码 -

const jwt = require('jsonwebtoken');

const JWT_SECRET_TOKEN = 'secret';
const JWT_WRONG_TOKEN = 'test';
const DATA = 'My Test Data';

// Equivalent to 1 Hour
// Data should be an Object to be signed
let token = jwt.sign({data: DATA}, JWT_SECRET_TOKEN, { expiresIn: 60 * 60 * 1 });

console.log("Encoded token => ",token);
console.log("token => "+JSON.stringify(jwt.decode(token)));

jwt.verify(token, JWT_SECRET_TOKEN, function (err, decoded) {
//jwt.verify(token, JWT_WRONG_TOKEN, function (err, decoded) {
    if (err) {             
        console.log('Error => ', err);

        if (err.name === 'TokenExpiredError') {
            console.log("AUTH_EXPIRED");
        } 
        else if (err.name === 'JsonWebTokenError') {
            console.log("JWT_ERROR");
        }
        else if (err.name === 'NotBeforeError') {
            console.log("JWT_NOT_ACTIVE");
        } else {
            console.log("ERR_ON");
        }

    } else {
        console.log('Success => ', decoded)
    }
  })

参考 -
1. https://www.npmjs.com/package/jsonwebtoken
2. https://jwt.io/

我究竟做错了什么?
我该如何解决?

4

1 回答 1

1

您只是用私钥签署了一些数据,任何人都可以使用或不使用私钥读取数据,但不能更改其内容。这就是 JWT 的工作原理。

On jwt.io you entered some new secret and website responded Signature Verified which means your data is now signed with a new secret, and the token is regenerated, that token should not pass on your backend since its invalid.

于 2019-04-03T02:42:32.980 回答