OAuth 2.0 访问令牌未加密?
Posted
技术标签:
【中文标题】OAuth 2.0 访问令牌未加密?【英文标题】:OAuth 2.0 Access token is not encrypted? 【发布时间】:2016-03-15 13:53:28 【问题描述】:我正在使用 System.IdentityModel.Tokens.jwt 库作为 jwt 访问令牌,在我调用 WriteToken 后,我可以在另一个程序中从 ReadToken 取回访问令牌值。那么访问令牌实际上并没有默认加密?
【问题讨论】:
【参考方案1】:没有加密,但是应该签名,防止被篡改。
jwt library 有一个 ValidateToken
方法来使用您的令牌签名证书或密钥检查令牌签名是否正确。
您需要依赖 SSL 进行加密。 This Blog post 更详细地说明了签名和加密令牌之间的区别。
如果您认为 Oauth2.0 依赖 SSL 听起来有点疯狂,那么您并不孤单。查看 Oauth2.0 上的 Eran Hammer's thoughts 以及他为什么离开它。
【讨论】:
以上是关于OAuth 2.0 访问令牌未加密?的主要内容,如果未能解决你的问题,请参考以下文章