【发布时间】:2019-05-25 03:45:55
【问题描述】:
我试图找到一种方法来验证我的 Android 应用程序中的令牌,但是我在某处看到 here “Android 应用程序验证甚至签署令牌是不寻常的。” 为什么这不寻常吗?这是否意味着在原生应用中无法验证令牌?
【问题讨论】:
我试图找到一种方法来验证我的 Android 应用程序中的令牌,但是我在某处看到 here “Android 应用程序验证甚至签署令牌是不寻常的。” 为什么这不寻常吗?这是否意味着在原生应用中无法验证令牌?
【问题讨论】:
首先让我们了解是什么使令牌可用作无状态身份验证代理。基本上 JWT 只是一个包含 3 个部分的 json 对象
签名方式为sha256(base64(header)+base64(payload)+"secret message")。
“秘密消息”定义了令牌的强度。服务器验证此密钥的令牌的有效性。
现在,如果您想在客户端验证令牌,您肯定需要这个密钥。这样做会损害安全性:)
希望我能够阐明为什么我们不应该在客户端验证令牌。让我们将验证留给服务器。
【讨论】: