写单点登录,不是不能把密码存到jwt么,我们过滤器解析之后,为什么可以根据jwt解析的数据,知道用户呢,并且框架是怎么根据这个jwt判断用户是登录的。再者如果伪造一个jwt,那我登录状态的用户不就不安全了么
4条回答 默认 最新
- a1767028198 2023-04-05 19:10关注
第一个问题,你从哪个demo看到了把密码写到jwt里面去?
第二个问题,jwt的生成你可以简单的理解为原始数据以一定的规则转换成一个字符串(即你拿到的jwt),新字符串也能通过一定的规则还原到原始数据,我如果在原始数据中加入用户信息,那我是不是就知道了用户的信息了?
第三个问题,jwt的颁布就代表了这个用户已经登录,而且jwt生成时一般会指定过期时间,这也就限制了token一直有效的问题(业务上就是用户一次登录的最大活动时间),想想jwt如果是做用户退出的话,jwt会有什么问题
第四个问题,jwt不是你想伪造就能伪造的,一般认证服务会加入私钥,如果要求很严的话,原始数据做一次转换再转jwt也是有可能的本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报
悬赏问题
- ¥15 关于#MATLAB#的问题,如何解决?(相关搜索:信噪比,系统容量)
- ¥500 52810做蓝牙接受端
- ¥15 基于PLC的三轴机械手程序
- ¥15 多址通信方式的抗噪声性能和系统容量对比
- ¥15 winform的chart曲线生成时有凸起
- ¥15 msix packaging tool打包问题
- ¥15 finalshell节点的搭建代码和那个端口代码教程
- ¥15 Centos / PETSc / PETGEM
- ¥15 centos7.9 IPv6端口telnet和端口监控问题
- ¥20 完全没有学习过GAN,看了CSDN的一篇文章,里面有代码但是完全不知道如何操作