如果令牌是JWT格式的,API是否需要验证来自授权服务器的令牌?有时候理解令牌流非常混乱。JWT据说是不言自明的,那么为什么要再次验证它呢?
aij0ehis1#
授权服务器(AS)将使用加密专用密钥签名的JWT访问标记颁发给客户机应用程序(例如移动应用程序)。仅当客户机已向AS注册时才允许执行此操作。然后,移动应用程序将向API发送标记。然后,API必须使用来自AS的公钥对每个请求验证JWT,以证明令牌是使用正确的加密密钥签名的。如果不是,则攻击者可以发布他们自己的JWT来调用您的API并获得对数据的访问权限。通过插入一个JWT安全库,编写任何API技术的代码都是一项非常简单的任务。
1条答案
按热度按时间aij0ehis1#
授权服务器(AS)将使用加密专用密钥签名的JWT访问标记颁发给客户机应用程序(例如移动应用程序)。仅当客户机已向AS注册时才允许执行此操作。然后,移动应用程序将向API发送标记。
然后,API必须使用来自AS的公钥对每个请求验证JWT,以证明令牌是使用正确的加密密钥签名的。如果不是,则攻击者可以发布他们自己的JWT来调用您的API并获得对数据的访问权限。
通过插入一个JWT安全库,编写任何API技术的代码都是一项非常简单的任务。