【发布时间】:2019-07-27 21:15:09
【问题描述】:
据我所知,关于 JWT 的安全性,如果 JWT 令牌不包含敏感信息,我们只使用其签名功能,使其内容无法被操纵。否则,如果它包含敏感数据,则可以对其进行加密以防止数据被嗅探。此外,如果需要,两者都可以使用。
但是,我无法理解的是为什么令牌不是普通的 json?为什么它可以被编码,而它可以很容易地解码?是出于安全原因还是背后有其他原因?
我在网上搜了一下,也快速浏览了RFC 7519,但没有找到任何明确而令人信服的答案。
【问题讨论】: