写单点登录,不是不能把密码存到jwt么,我们过滤器解析之后,为什么可以根据jwt解析的数据,知道用户呢,并且框架是怎么根据这个jwt判断用户是登录的。再者如果伪造一个jwt,那我登录状态的用户不就不安全了么
4条回答 默认 最新
- 编号灬9527 2023-04-05 19:10关注
第一个问题,你从哪个demo看到了把密码写到jwt里面去?
第二个问题,jwt的生成你可以简单的理解为原始数据以一定的规则转换成一个字符串(即你拿到的jwt),新字符串也能通过一定的规则还原到原始数据,我如果在原始数据中加入用户信息,那我是不是就知道了用户的信息了?
第三个问题,jwt的颁布就代表了这个用户已经登录,而且jwt生成时一般会指定过期时间,这也就限制了token一直有效的问题(业务上就是用户一次登录的最大活动时间),想想jwt如果是做用户退出的话,jwt会有什么问题
第四个问题,jwt不是你想伪造就能伪造的,一般认证服务会加入私钥,如果要求很严的话,原始数据做一次转换再转jwt也是有可能的本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报
悬赏问题
- ¥70 类鸟群Boids——仿真鸟群避障的相关问题
- ¥15 CFEDEM自带算例错误,如何解决?
- ¥15 有没有会使用flac3d软件的家人
- ¥20 360摄像头无法解绑使用,请教解绑当前账号绑定问题,
- ¥15 docker实践项目
- ¥15 利用pthon计算薄膜结构的光导纳
- ¥15 海康hlss视频流怎么播放
- ¥15 Paddleocr:out of memory error on GPU
- ¥30 51单片机C语言数码管驱动单片机为AT89C52
- ¥100 只改动本课件的 cal_portfolio_weight_series(decision_date), 跑完本课件。设计一个信息比率尽量高的策略。