[英]Should I pass encrypted data in a JWT token?
我们正在实现JWT,以允许客户端通过单独的身份验证服务器进行身份验证。
客户端将用户名和密码发布到身份验证服务器,接收JWT,然后使用JWT登录到主站点。
显然,令牌包括用户名和其他一些非秘密信息。
问题是是否使用JWT传递秘密信息以及如何传递。 以下是一些可以考虑的选项:
这里有最佳做法吗? 这些选择的起伏是什么?
您不应该使用JWT传递机密信息。 这些令牌通常经过签名以防止受到操纵(未加密),因此可以轻松解码和读取权利要求中的数据。 如果您需要传递敏感信息,请查看JSON Web加密(JWE)
您应该为此检查JSON Web加密
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.