我正在创建一个基于Web的移动应用程序。我担心的是,即使没有密钥,也可以从JWT网站解码JWT令牌的有效载荷。它显示无效签名错误,但仍显示令牌中包含的有效载荷。我想知道在这种情况下,使用JWT令牌有多少安全。这是由我的API -eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJKb2UiLCJuYW1lIjoidnl3diJ9.8xeKufZ-U5ksijK2fCeU7gnZ5Xg-eUTqlZ2SdxrslklHNm519xYx-0DkhEyNe2NRhMUNfyhNsnkpZWim9lqi5w
可能是我对JWT的理解还不够,对此有任何解决方案吗?
来自jwt.io页面:
何时应该使用JSON Web令牌?
以下是JSON Web令牌有用的一些情况:
身份验证:
这是使用JWT的最常见情况。登录用户后,每个后续请求将包括 JWT,允许用户访问路由,服务和资源 允许该令牌。单个签名是广泛的功能 如今使用JWT,因为它的开销很小及其能力
很容易使用。信息交换:
JSON Web令牌是在各方之间安全传输信息的好方法。因为JWT可以是 签名 - 例如,使用公共/私钥对 - 您可以确保 发件人是他们说的。另外,由于签名是 使用标头和有效载荷计算,您也可以验证 内容尚未被篡改。
因此是安全的。您只需要使用键验证令牌,而永远不会发送敏感数据(因为可以解密(。