我正在阅读有关作为响应用户的访问 token 的JWT Web token 的文章。其中一些提到Web token 应该能够由用户解码。
这是否意味着解密整个Web token 不是一个好习惯?例如,我假设将以下JWT Web token 返回给用户,在此用户中可以解码此信息。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
但是,我觉得我不想让用户能够解码他/她的访问 token ,因此我使用另一种加密算法将所有内容加密为另一种形式,如下所示,然后再传递给用户。
因此,当我在服务器中获得此访问 token 并对其进行解码时,我将解密此新文本。
如果我不希望向用户公开声明中的某些可用值(例如用户ID),建议这样做吗?如果没有,有哪些替代方案?
最佳答案
JWT(RFC7519)只是一种紧凑的方式,可以通过HTTP将声明从发行者安全地传输给受众。
JWT可以是:
如果您想对承载者(客户端)或第三方隐藏敏感信息,则对JWS进行加密是有意义的。
真正的问题是:观众是否支持JWE?如果是,支持哪些算法?
关于encryption - jwt Web token 应该加密吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34235875/