在客户端解码 HS256?

【问题标题】:Decoding HS256 in client side?在客户端解码 HS256?
【发布时间】:2016-11-22 07:34:40
【问题描述】:

我正在为我的应用程序使用 json Web 令牌。

当我登录我的网站并想查看谁是登录用户时,我有一个先前存储的令牌,其中包含以 HS256 编码的所有所需数据。

我应该使用这个令牌负载来显示“Hello ...”和负载内的用户名,还是应该解码令牌服务器端并从那里检索用户数据?

是否有任何客户端库可以解码 HS256 供我使用? 或者这是不好的做法,应该避免。

【问题讨论】:

  • 转到jwt.io检查库以进行令牌签名/验证

标签: token decoding json-web-token


【解决方案1】:

JWT 是独立的,并受数字签名保护。您可以完美地使用令牌中包含的信息,但您应该验证过期时间并确保数字签名没有被更改。

要在客户端验证签名,您需要密钥是非对称的并使用公钥进行验证。可能会将令牌发送到服务器以节省您的问题。取决于操作可能会冒险,只要令牌用于服务器上的身份验证并执行验证

是否有任何客户端库可以解码 HS256 供我使用?或者这是不好的做法,应该避免。

事实上,您不需要任何库。有效载荷是 base64 url​​ 编码的,可以用任何编程语言轻松解码。您需要一个库来验证数字签名。看看jwt.io

【讨论】:

    猜你喜欢
    • 2017-04-03
    • 2013-12-27
    • 2017-02-21
    • 2016-03-22
    • 2020-08-30
    • 1970-01-01
    • 1970-01-01
    • 2022-07-09
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode