jwt问题
来源:6-9 使用JWT替换默认令牌
精慕门4477463
2018-12-11
老师您好:
问一个关于jwt的问题,如果一个用户做登陆的时候通过jwt技术已经生成了一个token,那么如果这个token被别人盗取了那就意味着用户信息会被盗取吗??或者我根据这个用户信息也同样用jwt生成一个token去调需要认证的接口做一些操作?
写回答
1回答
-
JoJo
2018-12-19
是的,所以不要在jwt里放敏感信息,一般只放username
生成jwt时会有一个用于签名的key,这个key只有你自己知道,在课里应该也提到了,收到jwt时会用这个key来验签。所以不知道这个key的情况下自己生成的jwt是无法验签通过的。
00
Spring Security技术栈开发企业级认证与授权
Spring Security技术栈,REST风格开发常见接口,独立开发认证授权模块保证REST服务安全
2662 学习 · 1561 问题
相似问题