JWT 代币发行答案

【问题标题】：JWT Token IssueJWT 代币发行
【发布时间】：2020-02-18 08:50:15
【问题描述】：

我使用 java keystore 公钥和 io.jsonwebtoken 库创建了一个 jwt 令牌。生成后，我将生成的令牌复制粘贴到https://jwt.io 网站。它在不使用私钥的情况下解码了我的令牌。这怎么可能？

KeyPairGenerator keyGen = KeyPairGenerator.getInstance("RSA");
PrivateKey privateKey = pair.getPrivate();
Claims claims = Jwts.claims().setSubject(userName);
        claims.put("scopes", scopes);
        String token = Jwts.builder()
                .setClaims(claims)
                .signWith(SignatureAlgorithm.RS256, privateKey)
                .compact();

【问题讨论】：

签名 != 加密
jwt 有效负载是 base64 编码的。您的私钥用于签署 jwt。
If you can decode JWT how are they secure?的可能重复
@All: 那么如何加密 jwt 令牌呢？ jwt lib提供了什么机制？
如果你真的需要加密，请查看 JWE（加密的 JWT）：tools.ietf.org/html/rfc7516

标签： java spring jwt

【解决方案1】：

您的 JWT 仅经过签名，未加密。传入 JWT 的主要安全特性是它最后有一个校验和/签名。您的 Java 程序能够验证校验和是否与 JWT 的实际内容（例如标头和声明）匹配。如果校验和不匹配，则服务器将假定 JWT 已被篡改并拒绝它。 JWT 的主要用途与其说是保护关键信息，不如说是用于控制应用程序中的授权和身份验证。

【讨论】：

是的@Tim。我期待您的简短回复。
@BadDeveloper difference between encoding and encryption