使用 JSON Web Token (JWT) 进行身份验证和授权

Posted 2023-03-07

【中文标题】使用 JSON Web Token (JWT) 进行身份验证和授权

【英文标题】：Using JSON Web Token (JWT) for both Authentication and Authorization

【发布时间】：2019-09-23 17:09:59

【问题描述】：

我有一个使用 AWS lambda 函数的无服务器 Web 应用程序。对于 JSON Web Token(JWT)，您可以指定有效负载。是否可以指定像

这样的有效负载

user: example@any.com
authorization-level: admin

并使用生成的令牌不仅对用户进行授权，而且对用户进行身份验证？ （例如，用户在技术上甚至不必登录即可访问 API 并获取个人信息，因为令牌有用户电子邮件，我们会验证并返回相关的有效载荷）

或者这是一个重大的安全漏洞？

【参考方案1】：

只要不使用 NONE 进行签名算法，就可以同时使用 JWT 进行身份验证和授权。签名保证用户没有篡改payload。