Jwt:生成token,token不保存在服務端,服務端只做驗證,token中攜帶用戶信息,過期時間等信息。分爲3段,其中前兩段的信息在沒有私匙時可以被獲取,因爲其只是簡單的base64加密,安全的確保在第三段簽名,簽名是需要私匙來解密的。所以程序驗證第三段出錯說明token被竄改。將報錯。一般私匙在服務端保存,例如用戶的密碼、特定生成的字符串等
。
jwt的安全性問題總結
jwt生成的token可以被在線解密,那jwt是如何確保安全的呢?
Jwt:生成token,token不保存在服務端,服務端只做驗證,token中攜帶用戶信息,過期時間等信息。分爲3段,其中前兩段的信息在沒有私匙時可以被獲取,因爲其只是簡單的base64加密,安全的確保在第三段簽名,簽名是需要私匙來解密的。所以程序驗證第三段出錯說明token被竄改。將報錯。一般私匙在服務端保存,例如用戶的密碼、特定生成的字符串等![]()
。
Jwt:生成token,token不保存在服務端,服務端只做驗證,token中攜帶用戶信息,過期時間等信息。分爲3段,其中前兩段的信息在沒有私匙時可以被獲取,因爲其只是簡單的base64加密,安全的確保在第三段簽名,簽名是需要私匙來解密的。所以程序驗證第三段出錯說明token被竄改。將報錯。一般私匙在服務端保存,例如用戶的密碼、特定生成的字符串等
。
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
Trie樹帶模糊查詢, ?代表單個非空字符
https://github.com/zhangbo2008/Trie_with_informationExtraction_and_fuzzy_matchingv2