那些遇到过的问题

为什么我可以在jwt.io上轻松解码auth0 id_token?

Jus*_* B. 5 jwt auth0

好的,我正在开发一个Angular 2应用程序.我已经添加了auth0身份验证,但对我来说它非常不安全地处理会话.jwt令牌未加密并保存在localStorage中.声明对任何人都可见,它们可以轻松解码和显示.更不用说,Web Storage本身并不安全.

我选择JWT,因为后来我想用电子将这个网络应用程序转换为桌面应用程序,所以我不能使用cookie会话.我的用户将有其他信息,如角色,我不想在每次请求时在db中查找,这就是为什么我想将它们存储在jwt中.加密数据是有意义的,但auth0似乎没有提供该功能.

如果角色之类的声明存储在localStorage中不受保护,那么什么阻止我去firefox控制台并更改令牌,例如让自己成为管理员?

ped*_*ofb 6

如果角色之类的声明存储在localStorage中不受保护,那么什么阻止我去firefox控制台并更改令牌,例如让自己成为管理员?

由于JWT已签名,因此在验证期间将检测对内容或签名的任何更改

数字签名,这样的JWT令牌的第三部分 hhhhhh.ppppppp.ssssss是使用服务器私钥创建的,并且是您可以验证令牌发行者的身份以及它未被更改的方式

如果要隐藏有效负载,JWT规范允许使用加密(请参阅RFC中的 Json Web Encryption-JWE ).如果auth0不支持它,你在jwt.io中列出了很多库

归档时间:

查看次数:

1073 次

最近记录:

9 年,3 月 前
相关归档
Dotnet核心2.0认证多个模式身份cookie和jwt 28
向OPTIONS请求添加身份验证 13
在nginx服务器上解码JWT令牌并记录它 5
不能为 RSA 签名指定密钥字节。请指定一个 PublicKey 或 PrivateKey 实例 5
是否可以配置 Keycloak 将访问令牌/JWT 存储为承载令牌而不是 Cookie? 5
CryptographyDeprecationWarning:int_from_bytes 已弃用,请使用 int.from_bytes 代替 5
无法从 Base64 解码 JWT 有效负载 4
SvelteKit:cookies.set() 在表单操作中不起作用 4
Nest 无法解析 JwtService 的依赖关系 3
如何使用 JWT 令牌授权 Swagger jsdoc? 1
难疑归档
如何撤消Git中最近的提交? 20327
如何将某些内容附加到数组中? 2895
如何在Bash中连接字符串变量 2624
如何检测元素外部的单击? 2367
夏令时和时区最佳实践 2021
在Bash中提取文件名和扩展名 1969
如何在TextView中水平和垂直居中文本? 1932
在Chrome中停用相同的来源政策 1443
在JavaScript对象数组中按id查找对象 1435
让Chrome接受自签名的localhost证书 1080