Security 有效负载在过期时不再验证_Security_Jwt_Token_Verify_Lexikjwtauthbundle

Security 有效负载在过期时不再验证

security jwt

Security 有效负载在过期时不再验证,security,jwt,token,verify,lexikjwtauthbundle,Security,Jwt,Token,Verify,Lexikjwtauthbundle,我有一个定制的JWT负载，2fa=>done 当我必须刷新（使用刷新令牌）时，我想从Cookie中复制过期jwt令牌中的2fa，如下所示： $LoadedJWS = $JWSProviderInterface->load($jwtCookieString); 现在看来，有效载荷本身不再被验证。我当然还可以读，但它没有被验证，所以它已经变得无用了当我查看代码（Services/JWSProvider/LcobucciJWSProvider.php）时，我看到： private funct

我有一个定制的JWT负载，2fa=>done

当我必须刷新（使用刷新令牌）时，我想从Cookie中复制过期jwt令牌中的2fa，如下所示：

$LoadedJWS = $JWSProviderInterface->load($jwtCookieString);

现在看来，有效载荷本身不再被验证。我当然还可以读，但它没有被验证，所以它已经变得无用了

当我查看代码（Services/JWSProvider/LcobucciJWSProvider.php）时，我看到：

private function verify(Token $jwt){
    
    if (!$jwt->validate(new ValidationData(time() + $this->clockSkew))) {
        return false;
    }

    if ($this->signer instanceof Hmac) {
        return $jwt->verify($this->signer, $this->keyLoader->loadKey(RawKeyLoader::TYPE_PRIVATE));
    }

    return $jwt->verify($this->signer, $this->keyLoader->loadKey(RawKeyLoader::TYPE_PUBLIC));
}

当有效负载过期时，它似乎不再检查签名

我还篡改了cookie，这证实了我的怀疑，即有效载荷不再得到验证。（篡改未过期的cookie会立即导致错误，这正是我所期望的）

现在我的问题是：这是否“按设计”工作

对我来说，这很糟糕，因为当我想将有效负载传递给一个新的JWT令牌时，我不能再信任它了

先谢谢你