客户端应用 jwt 令牌解码和验证安全

Posted 2023-03-10

【中文标题】客户端应用 jwt 令牌解码和验证安全

【英文标题】：client app jwt token decode and verification security

【发布时间】：2018-05-18 19:21:24

【问题描述】：

我正在使用 JWT 使用 RS256 private/public 密钥进行 API 身份验证。

在我的客户端，我使用的是 Vuejs/Angular/React，我很想使用 JsonWebToken 对过期日期和颁发者进行客户端 JWT 令牌验证：

var cert = fs.readFileSync('public.pem');  // get public key
jwt.verify(token, cert,  audience: 'urn:foo', issuer: 'urn:issuer' , function(err, decoded) 
  // if issuer mismatch, err == invalid issuer
);

您认为公开公钥是否是个好主意，尽管公钥是用来分发的？

【问题讨论】：

是的，您可以与共享数据的人共享公钥以读取它

【参考方案1】：

公钥可以“公开”发布而不会造成任何损害。公钥用于验证签名是否未被操纵，而私钥是应保密的密钥，因为它是对有效负载进行签名的密钥。因此，您的客户只需要知道有效负载是否未被操纵。更多详情here