【发布时间】:2018-09-08 19:06:11
【问题描述】:
所以,现在我正在构建一个供第三方使用的 API,我正在阅读有关 RS256 和 HS256 的信息。我的理解是,在第一个中,您使用公钥进行验证,使用私钥进行签名,而另一个只使用一个密钥。因此,如果您使用 RS256,如果您想保留您的密钥安全并希望客户端验证令牌,但我不明白您为什么要在客户端验证令牌?因为您向服务器发出了一个 post 请求,所以它会向您发送一个令牌,每当您想要发出授权请求时,您只需使用该令牌,服务器会验证它并让您继续(如果没问题)。那么,为什么要在客户端验证令牌?我认为这是后端的职责。
我想我可能有问题,希望你能帮助解决这个问题。谢谢。
编辑:
所以,我的问题是,我知道 RS256 和 HS256 之间的区别,但我不明白它是如何使用它的流程。现在我正在开发第三方 api,我只需要在客户端请求时返回一个令牌,然后在需要它的请求中,只需从服务器验证它是否是一个有效的令牌。据我了解,当您想从客户端验证令牌时使用 RS256,如果正确,有人可以给我一个示例,说明您何时或为什么要在客户端验证令牌?
【问题讨论】:
-
你的句子“所以我不明白你为什么要在客户端验证令牌?”没有任何意义,因为它与您之前所说的无关。编辑您的问题并更清楚地说明您想要做什么以及您的问题是什么。
-
@Robert 我编辑了,希望你现在可以理解了。
标签: cryptography jwt rsa digital-signature hmac