Я понимаю, что JWT обеспечен. Но просто хотел узнать некоторые понятия, которые я не мог понять.Безопасен ли JWT с RS256?
Предположим, что сервер аутентификации «A» отправляет подписанный токен на сервер приложений. Если я не ошибаюсь Подписание выполняется с помощью закрытого ключа на сервере «А». Теперь сервер приложений может дешифровать токен и проверять информацию с помощью открытого ключа. Я также читаю JWT сам, он содержит как данные, так и подпись.
Некоторые из примеров, которые я видел, не используют защищенный ключ при проверке. Если я не ошибаюсь, RS256 не требует каких-либо конкретных ключей, я предполагаю, что он будет использовать общедоступные сертификаты для дешифрования.
Запрос, который у меня есть, Если JWT является автономным, почему данные не изменяются между ними.
Например предположим сервер «A» посылает содержащие следующую информацию
header.user1email.signature
Если хакер заменяет данные в
header.user2email.signature
используя свой закрытый ключ, как же это может быть достоверные данные? Как можно быть уверенным, что он пришел с сервера «А»?
Я понимаю, что у меня нет оснований здесь, пожалуйста, помогите?
Hi @CreativeManix - Помогли ли мои ответы на ваш вопрос? Если да, не могли бы вы закрыть этот вопрос? – Juxhin