gpt4 book ai didi

jwt - 使用 JWT 的角色

转载 作者:行者123 更新时间:2023-12-03 09:23:00 29 4
gpt4 key购买 nike

我是 JWT 的新手。我对 JWT 进行了一些研究,并了解到它的框架是“header.claims.signature”。

考虑一个简单的场景,如下所示:

  • 客户通过身份验证
  • 客户可能具有(一个或多个)管理员、成员、注册、访客角色
  • 服务器不维护任何 session (并且仅依赖 JWT 进行身份验证/授权)

  • 一旦通过身份验证,服务器就会找到客户的类型,我假设 customerId 和角色将成为 JWT 中“声明”的一部分。如果我的假设不正确(或违反标准),请告诉我。

    JWT 的“声明”部分没有加密(只是编码)。这暴露了一个简单的安全漏洞,其中(服务)消费者可以简单地修改 JWT 的“声明”部分,并使用更多角色(客户/消费者未授权)重新发送相同的内容。

    如果我的理解/假设不正确,我们如何实现我的目标?

    最佳答案

    使用时 JWS (header.claims.signature),JWT 的“声明”部分受签名的完整性保护。因此,如果没有正确 key 的人修改了“声明”或 JWT 的任何其他部分,则 JWT 上的签名验证将失败, token 应被拒绝。

    关于jwt - 使用 JWT 的角色,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/32158498/

    29 4 0
    Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
    广告合作:1813099741@qq.com 6ren.com