为什么JSON Web令牌(JWT)在不知道密钥的情况下解密

我正在使用JWT。为了加密令牌，我在Java中使用带有base64EncodedSecretKey的HS512签名算法。在我获得令牌之后，我可以在不知道密钥的情况下解密令牌。这怎麽可能？我的令牌有问题吗？

String JWT = Jwts.builder()
  .signWith(SignatureAlgorithm.HS512, SECRET)
  .setSubject(username)
  .setExpiration(new Date(System.currentTimeMillis() + EXPIRATIONTIME))
  .setAudience("ADMIN")
  .compact();

这里JWT是我的令牌，我通过调用此方法设置密钥：

signWith(SignatureAlgorithm.HS512, SECRET)

字符串SECRET是我的密钥。

但是，当我通过邮递员使用正确的USER_NAME和密码发出请求时，我在标题中收到此令牌：

eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTUyMjkyMjAzOSwiYXVkIjoiQURNSU4ifQ.Wye52RTz8P3_7gPxZnJHOArA-ixaNHhQEcfoiAELu_56WXmMcZEAOlUyqP8yI0CWOZ4deXFRcP6azBpZpwNt-w

当我解密它时，我可以查看令牌数据：

{
  alg: "HS512"
}.
{
   sub: "admin",
   exp: 1522922039,
   aud: "ADMIN"
}

所以我的问题是：怎么可能在不知道我的密钥的情况下解密JWT？

---

解决方案

要使用HS512签名算法加密令牌[.]

否，您没有加密令牌。您正在签署它。

获得令牌后，我可以在不知道密钥的情况下解密令牌[.]

否，您没有解密令牌负载。您正在解码。

令牌负载是编码为base64的JSON字符串，解码它不需要任何密钥。

---

JSON Web Token(JWT)是一个开放标准，它定义了一种紧凑而独立的方式，用于将各方之间的信息作为JSON对象进行安全传输。

JWT是以下类型令牌的通用名称：

• JSON Web Signature(Jws)：对负载进行编码和签名，以便可以验证声明的完整性。

• JSON Web Encryption(JWE)：它们的负载已加密，因此声明对其他方隐藏。

^{图像是从此page提取的。}