写单点登录,不是不能把密码存到jwt么,我们过滤器解析之后,为什么可以根据jwt解析的数据,知道用户呢,并且框架是怎么根据这个jwt判断用户是登录的。再者如果伪造一个jwt,那我登录状态的用户不就不安全了么
4条回答 默认 最新
- a1767028198 2023-04-05 19:10关注
第一个问题,你从哪个demo看到了把密码写到jwt里面去?
第二个问题,jwt的生成你可以简单的理解为原始数据以一定的规则转换成一个字符串(即你拿到的jwt),新字符串也能通过一定的规则还原到原始数据,我如果在原始数据中加入用户信息,那我是不是就知道了用户的信息了?
第三个问题,jwt的颁布就代表了这个用户已经登录,而且jwt生成时一般会指定过期时间,这也就限制了token一直有效的问题(业务上就是用户一次登录的最大活动时间),想想jwt如果是做用户退出的话,jwt会有什么问题
第四个问题,jwt不是你想伪造就能伪造的,一般认证服务会加入私钥,如果要求很严的话,原始数据做一次转换再转jwt也是有可能的本回答被题主选为最佳回答 , 对您是否有帮助呢?解决 无用评论 打赏 举报
悬赏问题
- ¥15 python结合Matlab仿真忆阻器
- ¥35 有人会注册whatsaop协议号吗?
- ¥15 lead dbs 无法导入影像数据
- ¥15 多目标MPA算法优化编程实现
- ¥15 反激PWM控制芯片调研
- ¥15 Python for loop减少运行时间
- ¥15 fluent模拟物质浓度udf
- ¥15 Collection contains no element matching the predicate
- ¥20 冻品电商平台的搜索是怎么实现的
- ¥15 如何搞一个可以控制、显示马达频率