我正在使用JWT令牌对用户进行身份验证。
在我的服务器上,我指定了一个密钥来对令牌进行编码。
在客户端上,我想解码这些令牌并验证其有效性,但如何在不向客户端泄露秘密的情况下完成此操作(我认为这是不允许的)
答案 0 :(得分:0)
有不同类型的键:
如果使用对称密钥对JWT进行签名或加密(在服务器端),则必须使用这些密钥来验证或解密客户端的JWT。 如果使用私钥/公钥对,则使用私钥执行签名或解密;使用公钥进行验证或加密。
因此,如果您想要decode these tokens and verify that validity ... without exposing the secret to the client,那么您应该考虑使用非对称密钥。
您的JWT将由服务器使用私钥进行签名,并由客户端使用公钥进行验证。