那些遇到过的问题

我应该在客户端解码 JWT 吗?

jav*_*sas 5 authentication android jwt json-web-token

我正在构建一个 android 应用程序并计划使用 Json Web Tokens (JWT) 进行身份验证。

一旦我的服务器使用生成的令牌返回响应,在客户端解码令牌以读取用户信息(又名有效负载)是否有意义,或者我应该严格使用令牌作为身份验证机制并发出第二个请求以获取用户的信息?

谢谢

Mvd*_*vdD 5

和大多数事情一样,这取决于情况。如果您控制授权服务器(即您正在调用的 API),那么在客户端读取令牌的内容我并没有真正看到任何问题。

如果您调用第 3 方 API 并针对您无法控制的服务器进行身份验证,我不会依赖 JWT 令牌的内容。第三方可能决定更改令牌中的声明,甚至开始加密令牌。

归档时间:

查看次数:

1304 次

最近记录:

10 年 前
相关归档
如何添加-Xlint:取消选中我的基于Android Gradle的项目? 127
在Android中添加RadioButton及其标签之间的边距? 77
具有捕获和接受属性的HTML文件输入控件是否有效? 69
Android:可以用wrap_content设置SlidingDrawer的高度吗? 56
在WebRequest中强制执行基本身份验证 50
在发布Android应用程序中完全禁用LogCat输出? 50
无法正确设置JWT的Exp和Iat 10
如何唯一地识别ios设备 9
Auth0 - 用用户信息丰富数据 9
flask_jwt_extended 在解码我的 JWT 时抛出错误。我怎样才能捕捉到它? 5
难疑归档
基于表单的网站身份验证的权威指南 5311
如何在单个表达式中合并两个词典? 4349
"git add -A"和"git add"之间的区别. 2788
为什么我不应该在PHP中使用mysql_*函数? 2432
如何在JavaScript中将数字格式化为美元货币字符串? 1711
使用jQuery作为JS对象向select中添加选项的最佳方法是什么? 1340
如何将键/值对添加到JavaScript对象? 1270
获取数据库中所有表的大小 1180
从Docker容器内部,如何连接到本机的本地主机? 1176
Objective-C中的快捷方式用于连接NSStrings 1114