是否可以使用公钥加密密钥斗篷访问令牌,并使用私钥解密负载?因为,如果有人获得了密钥斗篷访问令牌,他可以很容易地在https://jwt.io/因为它可以用公钥解密。
我们可以使用密钥斗篷使JWT代币更加安全吗?
根据JWT网站介绍(https://jwt.io/introduction)-是的,JWT代币可以加密,以在各方之间提供保密性。
什么是JSON Web令牌
JSON Web令牌(JWT(是一个开放标准(RFC 7519(,它定义了一种紧凑且自包含的安全方式作为JSON对象在各方之间传输信息。这信息可以被验证和信任,因为它是数字化的签名。JWT可以使用秘密(使用HMAC算法(进行签名,或者使用RSA或ECDSA的公钥/私钥对。虽然JWT可以加密以在各方之间提供保密性,但我们将专注于签名代币签名的令牌可以验证其中包含的声明在加密时的完整性代币向其他方隐藏这些声明。代币签名时使用公钥/私钥对,签名还证明持有私钥的一方就是签名方。
如果您的身份验证提供商支持,您需要查阅您的提供商的文档,如AppId、Key斗篷、Azure B2C等,以了解有关如何加密它的更多信息。