, 난 사용하여 토큰을 생성 한 자사의 사이트에 쉽게 디코딩됩니다JWT 내가 JWT API를 함께 일하고
그것을 undecode 수행하고 그 안에 저장된 모든 정보를 공개, 내가 잘못 또는 그것이 있어야로 일을 했습니까? 이것은 전혀 안전하지 않은 것처럼 보입니다. 답변
, 난 사용하여 토큰을 생성 한 자사의 사이트에 쉽게 디코딩됩니다JWT 내가 JWT API를 함께 일하고
그것을 undecode 수행하고 그 안에 저장된 모든 정보를 공개, 내가 잘못 또는 그것이 있어야로 일을 했습니까? 이것은 전혀 안전하지 않은 것처럼 보입니다. 답변
그것은 사용자가 누구인지를 알려줍니다 점에서 보안의 어떤 주장 그들이 가지고에 대한
감사합니다. JWT 서명을 확인하여 사용자의 신원과 소유권 주장이 유효한지 확인할 수 있습니다. 또한
이를 참조하십시오 https://stackoverflow.com/a/38459231/2115684당신이 페이로드를 숨기려는 경우는 JWT 사양은 사용하는 암호화를 (RFC에서 JSON 웹 암호화 - JWE 참조) 할 수 있습니다. auth0이 지원하지 않으면 jwt.io에 나열된 많은 라이브러리가 있습니다.
이것은 안전합니다. 그것에 대해 걱정하지 마십시오. 열쇠를 안전하게 보관하십시오. 중요한 점은 디코딩 된 정보를 변경할 수 없거나 키가 없으면 토큰을 생성 할 수 없다는 점입니다.
신용 카드 번호 나 비밀번호 등과 같은 필수 정보를 토큰에 저장하지 마십시오.이 목적으로 JWT를 사용하지 않았을 것입니다.
페이로드를 숨기려면 JWT 사양에서 암호화를 사용하면됩니다 (Json Web Encryption-JWE RFC 참조). auth0를 지원하지 않는 경우, 당신은이 주제
jwt.io
확인에 나와있는 라이브러리를 많이 가지고