JWT设置SigningKey有什么用
来源:6-9 使用JWT替换默认令牌
TinyLeon
2018-07-06
老师好:
@Bean
public JwtAccessTokenConverter jwtAccessTokenConverter() {
final JwtAccessTokenConverter converter = new JwtAccessTokenConverter();
converter.setSigningKey(securityProperties.getOauth2()
.getJwtSigningKey());
return converter;
}在课程里,这里设置了JWT的SigningKey。
为什么在这个SigningKey是未泄露的情况下,对方就可以解码token的信息。怎么样才能保证jwt编码的token只能被我自己的系统解析出来?
或者说,既然SigningKey对方不知道,但是仍然可以解析JWT,那SigningKey的意义是什么?
谢谢老师!
写回答
1回答
-
SigningKey不是用来加密的,jwt里不要放敏感信息,SigningKey只是用来验签
10
Spring Security技术栈开发企业级认证与授权
Spring Security技术栈,REST风格开发常见接口,独立开发认证授权模块保证REST服务安全
2662 学习 · 1561 问题
相似问题