我是使用 JWT 的新手。我有一个 API 可以为客户端生成一个 JWT,以便对进一步的请求进行身份验证。我的 JWT 有一个返回用户 ID 的属性:
{
jwt: {
exp: "2017-12-12 00:00:00",
data: {
user_id: 491
}
}
}
我的问题是客户端是否可以解码 API 生成的 JWT 并在数据字段中添加一个新属性,如下所示:
{
jwt: {
exp: "2017-12-12 00:00:00",
data: {
user_id: 491,
status: 1
}
}
}
或者,如果我可以从 API 身份验证系统生成 JWT,并将状态字段设置为默认值,然后客户端可以更改它。
谢谢。
【问题讨论】:
标签: token jwt api-design
客户端可以这样做,但它会使令牌无效。当您更改有效负载的内容时,例如添加另一个字段或更改其内容,令牌的签名不再匹配。当 API 收到带有无效签名的令牌时,它应该拒绝该令牌。想象一下,如果您有一个名为 isAdmin 的字段,并且客户端可以将其从 false 更改为 true。这将使您的身份验证毫无意义;客户端不决定它是否是管理员,后端决定。
当令牌的有效负载发生变化时,必须重新制作签名。为了签署令牌,客户端必须知道密钥(对于 H256)。但是客户端不应该知道密钥。
所以答案是否定的,客户端无法更改令牌。
您可以阅读更多关于 here 的信息。
【讨论】:
换句话说,您想篡改您的 JWT 令牌,如果不使令牌失效,您就无法做到。
签名是根据标头和负载计算的。令牌颁发者(服务器)检查签名以验证内容在此过程中没有被更改。
【讨论】:
在最新版本的 JWT 身份验证中
$token = JWTAuth::claims(['account_id' => $account->id])->fromUser($user);
token 中的数据:
$payload = JWTAuth::getPayload();
$accountId = $payload->get('account_id');
在 JWT auth 的预览版中
$token = JWTAuth::fromUser($user, ['account_id' => $account->id]);
token 中的数据:
$payload = JWTAuth::getPayload(JWTAuth::getToken());
【讨论】: