我正在构建一个 Android 应用程序并计划使用 Json Web Tokens (JWT) 进行身份验证。
一旦我的服务器返回带有生成的 token 的响应,在客户端解码 token 以读取有效负载是否有意义,或者我应该严格使用 token 作为身份验证机制并发出第二个请求以获取用户的信息?
谢谢
最佳答案
与大多数事情一样,这取决于情况。如果您控制授权服务器(即您调用的是您的 API),我真的看不到在客户端读取 token 内容有任何问题。
如果您正在调用第 3 方 API 并针对不受您控制的服务器进行身份验证,我不会依赖于 JWT token 的内容。第 3 方可能决定更改 token 中的声明,甚至开始加密 token 。
关于android - 我应该在客户端解码 JWT 吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/33576093/