我正在将 JWT 集成到我的服务中,供移动客户端使用。这个想法是在有效负载中包含用户 ID,并在客户端上使用用户的私钥登录。然后,在服务端,提取用户 id 并使用公钥验证签名。似乎有不少人这样做,基于在验证之前如何提取 JWT 有效负载的问题。但另一方面,通常会声明“在信任 JWT 中的任何信息之前始终验证签名”。
实现这一点的正确方法是什么?我应该将用户 ID 和签名包含在有效负载中,然后使用客户端私钥对其进行签名吗?
【问题讨论】:
标签: jwt
使用非对称RSA 私钥/公钥算法,您应该在访问您的有效负载之前验证您的令牌。使用 pub 密钥,您可以验证令牌和解码负载:
{ email: "test@mail.com", password:"secret" }
应持有私钥的服务器或身份验证服务。 不是 您的客户。
使用对称HMAC 对于单密钥验证(默认算法),您可以在客户端从 base64 解码您的有效负载,而无需在客户端验证您的令牌:
{ email: "test@mail.com", password:"secret" }
JWT secret 签署 JWT 令牌以创建令牌并将 user_id 添加到有效负载。 【讨论】:
JWT 身份验证通常用于两阶段身份验证逻辑。 首先,您在通过 SSL 的基本身份验证请求中提供您的用户 ID 和密码。 如果它被服务验证,服务会创建一个 JWT 访问令牌并将其发送回客户端。 其次,客户端可以使用此 JWT 进行身份验证(通过 SSL),直到其生命周期结束。 没有必要使用非对称方法为有效负载签名。您可以更快地使用对称密钥,因为您不必在客户端解密它。
您可以找到更多详细信息,例如在this 网站上。
【讨论】:
您的身份验证过程绝对有效。需要从有效负载中提取用户 ID 声明以定位匹配的公钥。只有在验证签名后,您才能“信任”发行者。
在通常的网站身份验证方案中(例如使用用户名/密码登录),令牌由服务器使用唯一的密钥颁发,因此服务器不需要检查有效负载来选择验证密钥。但是当私钥归客户所有时,在移动设备的情况下,每个 jwt 都有不同的签名密钥,因此您的验证过程与通常的不同
【讨论】: