jwt解密
来源:11-10 【登录页面】SignOut登出业务处理
慕粉4283821
2021-03-20
老师,jwt 网站可以解密出用户内容, 那是不是实际上只要能从headers拿到token, 用户信息就暴露了,因为是明文的形式,所以要使用 https 加密请求,
写回答
2回答
-
是的,你说的没错,一般来说jwt使用的是base64编码,请注意,base64不是加密(encryption)而是编码(encoding)。所以jwt信息本身其实是没有加密的,为了避免用户信息泄露,它必须走https加密。
不过话又说回来,实际上jwt的用户信息也没必要加密,以为如果前端要显示的用户信息加密以后不久无法显示了嘛。
那么jwt是否安全呢?答案是肯定的,因为在jwt中有数字签名,使用的是rsa非对称加密生成的,我们的后端可以使用这个数字签名来判断jwt的真伪。以目前的电脑算力来说jwt是无法作假的(量子计算成熟以后就不好说了)。
012021-03-21 -
慕粉4283821
提问者
2021-03-20
为什么不在生成jwt之前先对用户信息加密,然后使用加密的用户信息去生成jwt
00
相似问题