为什么JSON Web令牌(JWT)在不知道密钥的情况下解密
我正在使用JWT。为了加密令牌,我在Java中使用带有base64EncodedSecretKey的HS512签名算法。在我获得令牌之后,我可以在不知道密钥的情况下解密令牌。这怎麽可能?我的令牌有问题吗?
String JWT = Jwts.builder()
.signWith(SignatureAlgorithm.HS512, SECRET)
.setSubject(username)
.setExpiration(new Date(System.currentTimeMillis() + EXPIRATIONTIME))
.setAudience("ADMIN")
.compact();
这里JWT
是我的令牌,我通过调用此方法设置密钥:
signWith(SignatureAlgorithm.HS512, SECRET)
字符串SECRET
是我的密钥。
但是,当我通过邮递员使用正确的USER_NAME和密码发出请求时,我在标题中收到此令牌:
eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJhZG1pbiIsImV4cCI6MTUyMjkyMjAzOSwiYXVkIjoiQURNSU4ifQ.Wye52RTz8P3_7gPxZnJHOArA-ixaNHhQEcfoiAELu_56WXmMcZEAOlUyqP8yI0CWOZ4deXFRcP6azBpZpwNt-w
当我解密它时,我可以查看令牌数据:
{
alg: "HS512"
}.
{
sub: "admin",
exp: 1522922039,
aud: "ADMIN"
}
所以我的问题是:怎么可能在不知道我的密钥的情况下解密JWT?
解决方案
要使用HS512签名算法加密令牌[.]
否,您没有加密令牌。您正在签署它。
获得令牌后,我可以在不知道密钥的情况下解密令牌[.]
否,您没有解密令牌负载。您正在解码。
令牌负载是编码为base64的JSON字符串,解码它不需要任何密钥。
JSON Web Token(JWT)是一个开放标准,它定义了一种紧凑而独立的方式,用于将各方之间的信息作为JSON对象进行安全传输。
JWT是以下类型令牌的通用名称:
JSON Web Signature(Jws):对负载进行编码和签名,以便可以验证声明的完整性。
JSON Web Encryption(JWE):它们的负载已加密,因此声明对其他方隐藏。
图像是从此page提取的。
相关文章