JWT编码和索赔宣传
我知道它被广泛讨论,但我不能总结我所读到的内容 将JWT放入HTTP头而不进行编码是否正确?只不过是签了名。所以,通常的做法是,令牌数据(声明)是开放的,只有签名才允许检查JWT是否可靠。从保密的角度来看,人们依赖HTTJWT编码和索赔宣传,jwt,Jwt,我知道它被广泛讨论,但我不能总结我所读到的内容 将JWT放入HTTP头而不进行编码是否正确?只不过是签了名。所以,通常的做法是,令牌数据(声明)是开放的,只有签名才允许检查JWT是否可靠。从保密的角度来看,人们依赖HTT 正确吗?JWT在附加到标头之前经过签名和加密。所以索赔是无效的。@RyanWilson你是说JWE吗?或者只是压缩JWS的加密?JWE是加密的(因此是E),但签名令牌(JWS)形式的“正常”JWT只是base64url编码和签名的。所以令牌的报头和有效负载很容易读取,例如在@请
正确吗?JWT在附加到标头之前经过签名和加密。所以索赔是无效的。@RyanWilson你是说JWE吗?或者只是压缩JWS的加密?JWE是加密的(因此是E),但签名令牌(JWS)形式的“正常”JWT只是base64url编码和签名的。所以令牌的报头和有效负载很容易读取,例如在@请澄清你的意思。