【发布时间】:2022-01-11 18:26:42
【问题描述】:
我一直在阅读,当使用 Amazon Cognito 进行验证和 JWT 令牌时,解码签名所需的只是公钥。但是,如果这是真的,我认为这会降低安全性,因为有人可以更改他们的 jwt 然后更改签名,而我在 API 端的解码将不知道其中的区别,因为我不知道私钥和公共密钥是公开的,可用于生成签名。
谁能帮忙澄清一下?
【问题讨论】:
-
公钥用于验证(不解码)签名,但没有私钥就无法创建(生成)有效签名,应保留私钥私有的,这就是为什么它首先被命名为私有密钥,这可以防止其他任何人为伪造数据创建签名。参见例如en.wikipedia.org/wiki/Digital_signature。
标签: jwt rsa amazon-cognito