Ich habe ein Token mit dem privaten Schlüssel von JWT erstellt, aber wenn ich versuche, es auf http://kjur.github.io/jsjws/tool_jwt.html zu decodieren, fand ich, dass das Token ohne Schlüssel dekodiert werden kann. Ist es also richtig, dass der JWT-Token nur eine Signatur ist? Wie kann man verhindern, dass der Token ohne den Schlüssel entschlüsselt wird?JWT-Token ohne das Geheimnis entschlüsseln
Antwort
Es gibt zwei Möglichkeiten, wie ein öffentlicher/privater Schlüssel von einem JWT verwendet werden kann: Signieren und Verschlüsseln.
Wenn Sie einen privaten Schlüssel zum Signieren verwenden, kann der Empfänger den Absender des JWT und die Integrität der Nachricht identifizieren, indem er seinen Inhalt nicht vor anderen geheimhält (Vertraulichkeit). Beachten Sie, dass der private Schlüssel des Absenders verwendet wird, um die JWT zu signieren und ein JSON Web Signature (JWS) -Objekt zu erstellen. Anscheinend gilt das für das JWT, das du dir ansiehst.
Wenn Sie einen öffentlichen Schlüssel für die Verschlüsselung verwenden, können Sie damit Inhalte von anderen Personen als dem beabsichtigten Empfänger verbergen. Das Ergebnis ist ein JSON Web Encryption-Objekt. Beachten Sie, dass der öffentliche Schlüssel des Empfängers zum Verschlüsseln des JWT verwendet wird. Anscheinend suchen Sie genau danach.
vielen dank, Hans, das ist eigentlich was ich brauche. – user440446
- 1. Wie ist Winkel-JWT meine JWT ohne ein Geheimnis zu entschlüsseln?
- 2. PHP das Passwort entschlüsseln
- 3. Chef schlechte Entschlüsselung Fehler, auch wenn das Geheimnis identisch ist
- 4. Decrypt Geheimnis mit ECDH und NodeJS Krypto
- 5. JSON in Go entschlüsseln ohne alle Schlüsselnamen
- 6. Entschlüsseln/Überprüfen Firebase-Token
- 7. Geheimnis HRESULT, 0x889000D
- 8. Callback-Parameter Geheimnis
- 9. Python Timer Geheimnis
- 10. XML.Save Datei schreiben Geheimnis
- 11. Geheimnis Speicherverlust, wenn das Überschreiben eines statischen DataSet
- 12. Geheimnis Verwendung Symfony2 die parameters.ini
- 13. Codeigniter kann das verschlüsselte Passwort nicht entschlüsseln
- 14. Was ist das Geheimnis, wenn ClaimsResponse mit DotNetOpenId funktioniert?
- 15. benötigt das Facebook ios sdk 3.2 ein App-Geheimnis
- 16. Geheimnis der Punkte in XAML
- 17. Wie extrahiere ich das Pre-Master-Geheimnis mithilfe eines OpenSSL-basierten Clients?
- 18. Twitter-Authentifizierung api fehlt Geheimnis
- 19. Webserver entschlüsseln?
- 20. Wann entschlüsseln?
- 21. Wie kann ich AES 128 ohne IV verschlüsseln und entschlüsseln?
- 22. Entschlüsseln von codierten Audiodaten (MP3s usw.) auf Android, ohne abzuspielen
- 23. Wie kann ich einen HMAC entschlüsseln?
- 24. So finden Sie die Kundennummer und das Geheimnis für das Google Analytics-Paket von R
- 25. Wie halten Sie Geheimnisse. Geheimnis in Schienen?
- 26. Firebase - Ist auth.uid ein gemeinsames Geheimnis?
- 27. kubernetes: ein Geheimnis mit dem CLI modifizieren?
- 28. überprüfen/verifizieren Entschlüsselung Geheimnis für OpenSSL
- 29. Sichern einer API mit gemeinsamem Geheimnis
- 30. Geheimnis des unsichtbaren Textes in Chrome
Suche um für 'JWE' (' JSON Web Encryption'), das ist ein Weg, JWT der Darstellung in einer verschlüsselten Weise. – robertklep