据我了解:要检查使用非对称公钥/私钥加密算法创建的JWT的有效性,您需要公钥以及JWT标头,声明(也称为有效负载)和签名.JWT标头和声明可以自由解码,但如果没有公钥来验证签名(基于标头和声明并使用私钥创建),则无法验证.
我的问题是,为什么不将公钥捆绑到令牌的声明有效载荷中.这样,任何人都可以检查令牌的有效性,而无需从数据库或文件存储中挖掘公钥?
security cryptography oauth digital-signature jwt
cryptography ×1
digital-signature ×1
jwt ×1
oauth ×1
security ×1