Question

Я создал токен jwt, используя открытый ключ хранилища ключей java и библиотеку io.jsonwebtoken. После генерации я скопировал и вставил сгенерированный токен на сайт https://jwt.io. Он расшифровал мой токен без использования закрытого ключа. Почему это возможно?

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
PrivateKey privateKey = pair.getPrivate();
Claims claims = Jwts.claims().setSubject(userName);
        claims.put("scopes", scopes);
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.RS256, privateKey)
                .compact();

Tim Biegeleisen · Answer 1 · 22 октября 2019

Ваш JWT только подписан, но не зашифрован. Главная особенность безопасности входящего JWT состоит в том, что у него есть контрольная сумма / подпись в конце. Ваша Java-программа имеет возможность проверить, что контрольная сумма соответствует фактическому содержимому JWT (например, заголовки и утверждения). Если контрольная сумма не совпадает, то сервер предположит, что JWT был подделан, и отклонит его. Основное использование JWT - это не столько защита критической информации, сколько контроль авторизации и аутентификации в вашем приложении.

Проблема с токеном JWT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Проблема с токеном JWT

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов