在 Android 应用程序中验证令牌是不是异常?

Posted

技术标签:

【中文标题】在 Android 应用程序中验证令牌是不是异常?【英文标题】:Validating tokens in an Android app is unusual?在 Android 应用程序中验证令牌是否异常? 【发布时间】:2019-05-25 03:45:55 【问题描述】:

我试图找到一种方法来验证我的 android 应用程序中的令牌,但是我在某处看到 here “Android 应用程序验证甚至签署令牌是不寻常的。” 为什么这不寻常吗?这是否意味着在原生应用中无法验证令牌?

【问题讨论】:

【参考方案1】:

首先让我们了解是什么使令牌可用作无状态身份验证代理。基本上 JWT 只是一个包含 3 个部分的 json 对象

标题 有效载荷 签名

签名方式为sha256(base64(header)+base64(payload)+"secret message")。

“秘密消息”定义了令牌的强度。服务器验证此密钥的令牌的有效性。

现在,如果您想在客户端验证令牌,您肯定需要这个密钥。这样做会损害安全性:)

希望我能够阐明为什么我们不应该在客户端验证令牌。让我们将验证留给服务器。

【讨论】:

以上是关于在 Android 应用程序中验证令牌是不是异常?的主要内容,如果未能解决你的问题,请参考以下文章

带有 .NET JSON Web 令牌处理程序的 Google 身份工具包令牌验证异常

如何验证 android 设备令牌

在 laravel 5.5 的验证 csrf 令牌中没有收到错误令牌不匹配异常

在 apache shiro 中获取令牌提交的异常身份验证失败

Android '无法添加窗口 -- 令牌 null 不适用于应用程序' 异常

生成和验证相同令牌时的签名异常