JWT Tokens 全球+私密
JWT Tokens global + private secret
我最近在阅读有关 JWT 令牌的内容,我有时间;我有一个想法,在我的脑海里似乎很棒,但我怀疑到最后它并不是那么好。
我看到人们出于全球目的使用单一密钥加密令牌。如果我为每个用户生成全新的密钥,之后加入两个字符串并使用输出来加密令牌,会怎样?这将处理为不应再具有访问权限的用户创建黑名单的需要,等等。我缺少什么?因为我敢肯定有人和我有类似的想法,而且由于某种原因它没有被广泛使用。我在哪里迷路了?
JWT 使用发行者(通常是服务器)的私钥签名(未加密)。数字签名标识签名者并保护内容不被更改。
如果您修改有效 JWT 的负载、签名或创建假令牌,服务器将拒绝它。这就是为什么服务器不需要已发行令牌列表的原因,因为它可以通过密码验证令牌是否受信任
您可以为每个用户创建一个不同的密钥,但这不是必需的,因为您想要证明该令牌已由服务器颁发以信任负载中包含的数据,只需要一个密钥
我最近在阅读有关 JWT 令牌的内容,我有时间;我有一个想法,在我的脑海里似乎很棒,但我怀疑到最后它并不是那么好。
我看到人们出于全球目的使用单一密钥加密令牌。如果我为每个用户生成全新的密钥,之后加入两个字符串并使用输出来加密令牌,会怎样?这将处理为不应再具有访问权限的用户创建黑名单的需要,等等。我缺少什么?因为我敢肯定有人和我有类似的想法,而且由于某种原因它没有被广泛使用。我在哪里迷路了?
JWT 使用发行者(通常是服务器)的私钥签名(未加密)。数字签名标识签名者并保护内容不被更改。
如果您修改有效 JWT 的负载、签名或创建假令牌,服务器将拒绝它。这就是为什么服务器不需要已发行令牌列表的原因,因为它可以通过密码验证令牌是否受信任
您可以为每个用户创建一个不同的密钥,但这不是必需的,因为您想要证明该令牌已由服务器颁发以信任负载中包含的数据,只需要一个密钥