我正在c# . net中的一个应用程序的后端工作,该应用程序与JWT一起访问一些端点。现在我已经添加了与Firebase JWT令牌的兼容性,它们工作得很好。
问题是前端正在修改这个令牌以添加一些属性,例如用户的角色,但随后我无法验证令牌,因为它给了我以下错误:承载错误="invalid_token", error_description="签名密钥为未找到,承载错误= invalid_token", error_description="未找到签名密钥"
我不确定如何处理这个问题,因为我仍然不太了解firebase JWT。
让它工作的正确方法是什么?
前端正在修改这个令牌以添加一些属性,例如用户的角色
这似乎是一个安全风险。如果前端代码设置了用户的角色,则任何用户都可以为自己申请任何角色。
通常的方法是在可信环境中设置自定义声明,这样还可以确保令牌在该环境中得到正确的签名。