是否可以使用公钥加密密钥斗篷访问令牌并使用私钥解密有效载荷? 因为,如果有人获得了密钥访问令牌,那么他可以轻松地在https://jwt.io/上看到令牌内容,因为它可以用公钥解密。
我们可以使用keycloak使JWT令牌更安全吗?
答案 0 :(得分:0)
根据 JWT 网站的介绍 (https://jwt.io/introduction) - 是的,JWT 令牌可以加密以在各方之间提供保密。
<块引用>什么是 JSON 网络令牌?
JSON Web Token (JWT) 是一个开放标准 (RFC 7519),它定义了一种紧凑且自包含的方式来确保安全
在各方之间传输信息作为 JSON 对象。这
信息可以被验证和信任,因为它是数字化的
签。 JWT 可以使用秘密(使用 HMAC 算法)或
使用 RSA 或 ECDSA 的公钥/私钥对。
虽然 JWT 可以加密以在各方之间提供保密,但我们将重点关注签名令牌。 签名令牌可以验证 包含在其中的声明的完整性,同时加密 代币向其他方隐藏了这些声明。当令牌被签名时 使用公钥/私钥对,签名还证明只有 持有私钥的一方是签署它的一方。
如果您的身份验证提供商支持,您需要查阅提供商的文档,例如 AppId、Keycloak、Azure B2C 等,以获取有关如何对其进行加密的更多信息。