【发布时间】:2019-10-31 12:29:20
【问题描述】:
我在我的网站上使用 JWT 身份验证来获取登录数据。看起来我们可以在没有密钥的情况下解码 JWT 令牌。试试下面的网站。这让我很震惊。那么除了JWT Token认证之外,还有没有更好的token认证方式。
您可以尝试使用任何键。来自网站https://medium.com/@siddharthac6/json-web-token-jwt-the-right-way-of-implementing-with-node-js-65b8915d550e的示例
令牌:eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJkYXRhMSI6IkRhdGEgMSIsImRhdGEyIjoiRGF0YSAyIiwiZGF0YTMiOiJEYXRhIDMiLCJkYXRhNCI6IkRhdGEgNCIsImlhdCI6MTUyNTE5MzM3NywiZXhwIjoxNTI1MjM2NTc3LCJhdWQiOiJodHRwOi8vbXlzb2Z0Y29ycC5pbiIsImlzcyI6Ik15c29mdCBjb3JwIiwic3ViIjoic29tZUB1c2VyLmNvbSJ9.ID2fn6t0tcoXeTgkG2AivnG1skctbCAyY8M1ZF38kFvUJozRWSbdVc7FLwot-bwV8k1imV8o0fqdv5sVY0Yzmg P>
【问题讨论】:
-
解码能力是拥有 JWT 的用处。它提供了一种在客户端和服务器之间共享信息的无状态方法。您不应在 JWT 令牌中存储敏感信息。然而,JWT 通过签名促进完整性,防止中间人攻击。
标签: node.js jwt jwt-auth json-web-signature