dth2331 2016-03-11 21:16
浏览 323
已采纳

(Golang)JWT签名验证问题

I'm trying to get my head around JWT tokens in Golang. I'm using github.com/dgrijalva/jwt-go.

What caught me off guard is the fact that I can enter multiple valid signatures.

For example, head over to http://jwt.io - enter MySuperSecretKey for the secret

This token is valid:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0NTc3MzAyODMsInVzZXIiOiJ1c2VyMSJ9.SxshVL42DUH9e7jXUblbB_bTwKxhe4jo70DrvbQMlaU

as well as this one:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJleHAiOjE0NTc3MzAyODMsInVzZXIiOiJ1c2VyMSJ9.SxshVL42DUH9e7jXUblbB_bTwKxhe4jo70DrvbQMlaV

In fact, if I change the last letter to V, W or X, I get a "Signature Verfied" message.

Can anyone tell me what's going on here?

  • 写回答

1条回答 默认 最新

  • dongyanjing5975 2016-03-14 10:35
    关注

    It's the Base64 encoding of the signature which can have the last letter changed to certain targets without affecting the relevant bits.

    Try popping both signatures into a base64->hex decoder and you'll get the same results. In fact at https://conv.darkbyte.ru/ both signatures get re-evaluated to base64 SxshVL42DUH9e7jXUblbBbTwKxhe4jo70DrvbQMlaQ==

    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

  • GolangJWT签名验证问题
    2016-03-11 21:16
    回答 1 已采纳 It's the Base64 encoding of the signature which can have the last letter changed to certain target
  • golang jwt-go中解码JWT
    2018-08-16 10:31
    回答 1 已采纳 From docs at: func (p *Parser) ParseUnverified(tokenString string, claims Claims) (token *Token,
  • Golang中解码JWT令牌
    2017-07-30 23:18
    回答 3 已采纳 Function jwt.ParseWithClaims accept an interface of jwt.Claims as the second argument. Besides str
  • 实战——golang实现JWT验证登录
    2020-09-18 17:57
    BeginnerXiao的博客 // 可加相对应的验证逻辑 if err == nil && token.Valid { fmt.Println("Uid :",claims.Uid ) return true,nil } return false,err } jwt包中的token源码 可阅读下该源码,加深理解 package jwt import ( ...
  • golang / goxmldig-签名验证失败
    2017-08-12 22:38
    回答 1 已采纳 It seems the problem is related to including this attribute in some of your elements: xml:lang="e
  • golang 代码问题 golang idea vscode
    2022-11-08 20:04
    回答 2 已采纳 这是统计每个英文字母的个数,不光是a
  • golang指针问题 golang
    2022-07-25 18:29
    回答 3 已采纳 戳啦,这里的 map2 是对 map1 创建了 shallow copy,它们里面的东西装的一样,但是却不是同一个玩意。
  • go 实现 jwt 签名验证
    2022-03-16 16:47
    用户昵称不能为空的博客 golang中很方便自带的签发jwt的token。最新使用的库是 go get -u github.com/golang-jwt/jwt/v4 注意 很多老人都在使用github.com/dgrijalva/jwt-go,而这个实际上已经不维护和更新了。 现在都转交给官方去维护了,...
  • GolangJWT-简单注销
    2016-03-29 18:59
    回答 1 已采纳 First: Don't (ever) put sensitive credentials in the token. They are not encrypted, and you should
  • golang格式问题报错 golang
    2023-01-30 18:45
    回答 3 已采纳 望采纳:这是 Go 语言代码的格式错误,具体来说是 flag 包的参数定义的问题。错误的语法是: flag.Int64Var(&timeout,name:"w",value:1000,usage:"请
  • 如何在Golang中获得JWT的响应
    2018-07-08 00:48
    回答 2 已采纳 net/http.Request has a Header field that you can directly edit, but this means you can't use the s
  • golang JWT包 token验证
    2019-10-15 16:04
    johopig的博客 JWT: json web token,是一种规范 由三部分组成 Header 头部 PayLoad 有效载荷 Signature 签名 使用 . 来连接上面的3部分 “Token” : Header+"."+PayLoad+"."+Signature Header Header的作用是用来表明签名所...
  • golang 数组切片问题 golang
    2021-10-06 11:39
    回答 1 已采纳 可以先将数组排序,然后一个数从前往后找,另一个从后网球找,两数相加小于number前数前进,大于则后数退
  • jwt:进行JWT签名验证验证
    2021-02-03 14:31
    jwt(Go的JSON Web令牌)关于该软件包是 (或Golang)的JWT签名者,验证者和验证者。 尽管有许多用于Go的JWT软件包,但许多都缺乏对某些签名验证验证方法的支持,并且当它们不支持时,它们过于复杂。 该程序包在...
  • Go 中 JWT 身份验证指南
    2022-10-13 16:41
    pxr007的博客 JSON Web 令牌 (JWT) 是处理在线身份验证的流行方法,您可以使用任何服务器端编程语言实现 JWT 身份验证。...golang-jwt由于其特性和易用性,该包是在 Go 中实现 JWT 最流行的包。该包提供了生成和验证 JWT 的功能。
  • 没有解决我的问题, 去提问

悬赏问题

  • ¥15 程序不包含适用于入口点的静态Main方法
  • ¥15 素材场景中光线烘焙后灯光失效
  • ¥15 请教一下各位,为什么我这个没有实现模拟点击
  • ¥15 执行 virtuoso 命令后,界面没有,cadence 启动不起来
  • ¥50 comfyui下连接animatediff节点生成视频质量非常差的原因
  • ¥20 有关区间dp的问题求解
  • ¥15 多电路系统共用电源的串扰问题
  • ¥15 slam rangenet++配置
  • ¥15 有没有研究水声通信方面的帮我改俩matlab代码
  • ¥15 ubuntu子系统密码忘记