【问题标题】:Validating tokens in an Android app is unusual?在 Android 应用程序中验证令牌是否异常?
【发布时间】:2019-05-25 03:45:55
【问题描述】:

我试图找到一种方法来验证我的 Android 应用程序中的令牌,但是我在某处看到 hereAndroid 应用程序验证甚至签署令牌是不寻常的。” 为什么这不寻常吗?这是否意味着在原生应用中无法验证令牌?

【问题讨论】:

    标签: android jwt token


    【解决方案1】:

    首先让我们了解是什么使令牌可用作无状态身份验证代理。基本上 JWT 只是一个包含 3 个部分的 json 对象

    • 标题
    • 有效载荷
    • 签名

    签名方式为sha256(base64(header)+base64(payload)+"secret message")。

    “秘密消息”定义了令牌的强度。服务器验证此密钥的令牌的有效性。

    现在,如果您想在客户端验证令牌,您肯定需要这个密钥。这样做会损害安全性:)

    希望我能够阐明为什么我们不应该在客户端验证令牌。让我们将验证留给服务器。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 1970-01-01
      • 2015-08-27
      • 2018-02-03
      • 2020-06-29
      • 2021-12-09
      • 1970-01-01
      • 2016-12-29
      • 2019-06-29
      相关资源
      最近更新 更多