写单点登录,不是不能把密码存到jwt么,我们过滤器解析之后,为什么可以根据jwt解析的数据,知道用户呢,并且框架是怎么根据这个jwt判断用户是登录的。再者如果伪造一个jwt,那我登录状态的用户不就不安全了么
4条回答 默认 最新
a1767028198 2023-04-05 19:10关注第一个问题,你从哪个demo看到了把密码写到jwt里面去?
第二个问题,jwt的生成你可以简单的理解为原始数据以一定的规则转换成一个字符串(即你拿到的jwt),新字符串也能通过一定的规则还原到原始数据,我如果在原始数据中加入用户信息,那我是不是就知道了用户的信息了?
第三个问题,jwt的颁布就代表了这个用户已经登录,而且jwt生成时一般会指定过期时间,这也就限制了token一直有效的问题(业务上就是用户一次登录的最大活动时间),想想jwt如果是做用户退出的话,jwt会有什么问题
第四个问题,jwt不是你想伪造就能伪造的,一般认证服务会加入私钥,如果要求很严的话,原始数据做一次转换再转jwt也是有可能的本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏举报
分享
问题事件
系统已结题
4月13日
已采纳回答
4月5日-
创建了问题
4月5日
悬赏问题
- ¥100 嵌入式系统基于PIC16F882和热敏电阻的数字温度计
- ¥20 BAPI_PR_CHANGE how to add account assignment information for service line
- ¥500 火焰左右视图、视差(基于双目相机)
- ¥100 set_link_state
- ¥15 虚幻5 UE美术毛发渲染
- ¥15 CVRP 图论 物流运输优化
- ¥15 Tableau online 嵌入ppt失败
- ¥100 支付宝网页转账系统不识别账号
- ¥15 基于单片机的靶位控制系统
- ¥15 真我手机蓝牙传输进度消息被关闭了,怎么打开?(关键词-消息通知)