возможно ли, чтобы JWT сгенерировал один и тот же токен два раза?

Question

Безопасно ли использовать только токены для доступа / изменения данных пользователя в базе данных?Представьте, что я получаю запрос, содержащий только jwt, и хочу что-то изменить только для того пользователя, который использует свой токен, который хранится в базе данных. Как я могу быть уверен, что ни у одного пользователя нет одинаковых токенов, хранящихся в базе данных?Нужно ли мне получить его имя пользователя (другие данные хранятся в базе данных) и сравнить их оба или достаточно только токена?

Answer 1

Возможно ^тм . Шансы хэширования одной и той же строки на детали (коллизия) чертовски малы.

Заголовок будет довольно распространенным, но полезная нагрузка будет изменяться в зависимости от алгоритма. Подпись является продуктом первых двух, поэтому коллизия зависит от полезной нагрузки. Это так информация об этом (см. Принятый ответ) https://crypto.stackexchange.com/questions/2558/how-many-rsa-keys-before-a-collision