gpt4 book ai didi

security - 为方便起见,为什么不在 JWT 负载中包含公钥

转载 作者:行者123 更新时间:2023-12-02 05:58:24 25 4
gpt4 key购买 nike

据我了解:要检查使用非对称公钥/私钥加密算法创建的 JWT 的有效性,您需要公钥以及 JWT header 、声明(又名有效载荷)和签名。 JWT header 和声明可以自由解码,但如果没有公钥来验证签名,则无法验证(基于 header 和声明并使用私钥创建)。

我的问题是,为什么不将公钥捆绑到 token 的声明有效负载中。这样任何人都可以检查 token 的有效性,而不必从数据库或文件存储中挖掘公钥?

最佳答案

你怎么知道 JWT 提供的公钥是真实的?众所周知,攻击者可能已经生成了一个 key 对,使用私钥对有效负载进行了签名,并在 JWT 中包含了数据、签名和公钥。你现在拥有的这个“东西”并不能证明什么。

关于security - 为方便起见,为什么不在 JWT 负载中包含公钥,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38955830/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com