mirror of
https://github.com/Snailclimb/JavaGuide
synced 2025-06-16 18:10:13 +08:00
Update jwt-intro.md
This commit is contained in:
ZhangYan
GitHub
parent
e19fbf4efc
commit
7fc17e527f
@ -145,7 +145,7 @@ HMACSHA256(
|
|||||||
|
|
||||||
## 如何防止 JWT 被篡改?
|
## 如何防止 JWT 被篡改?
|
||||||
|
|
||||||
有了签名之后,即使 JWT 被泄露或者解惑,黑客也没办法同时篡改 Signature 、Header 、Payload。
|
有了签名之后,即使 JWT 被泄露或者截获,黑客也没办法同时篡改 Signature 、Header 、Payload。
|
||||||
|
|
||||||
这是为什么呢?因为服务端拿到 JWT 之后,会解析出其中包含的 Header、Payload 以及 Signature 。服务端会根据 Header、Payload、密钥再次生成一个 Signature。拿新生成的 Signature 和 JWT 中的 Signature 作对比,如果一样就说明 Header 和 Payload 没有被修改。
|
这是为什么呢?因为服务端拿到 JWT 之后,会解析出其中包含的 Header、Payload 以及 Signature 。服务端会根据 Header、Payload、密钥再次生成一个 Signature。拿新生成的 Signature 和 JWT 中的 Signature 作对比,如果一样就说明 Header 和 Payload 没有被修改。
|
||||||
|
|
||||||
@ -161,4 +161,4 @@ HMACSHA256(
|
|||||||
4. 一定不要将隐私信息存放在 Payload 当中。
|
4. 一定不要将隐私信息存放在 Payload 当中。
|
||||||
5. 密钥一定保管好,一定不要泄露出去。JWT 安全的核心在于签名,签名安全的核心在密钥。
|
5. 密钥一定保管好,一定不要泄露出去。JWT 安全的核心在于签名,签名安全的核心在密钥。
|
||||||
6. Payload 要加入 `exp` (JWT 的过期时间),永久有效的 JWT 不合理。并且,JWT 的过期时间不易过长。
|
6. Payload 要加入 `exp` (JWT 的过期时间),永久有效的 JWT 不合理。并且,JWT 的过期时间不易过长。
|
||||||
7. ......
|
7. ......
|
||||||
|
|||||||
Loading…
x
Reference in New Issue
Block a user