Декодирование HS256 на стороне клиента?

Question

Я использую токены json для своего приложения.

Когда я заходил на свой сайт и хочу узнать, кто вошел в систему, у меня есть ранее сохраненный токен со всеми необходимыми данными в нем, закодированными в HS256.

Должен ли я использовать эту полезную нагрузку для отображения «Hello ...» и имя пользователя, которое находится внутри полезной нагрузки, или я должен декодировать серверный токен и извлекать из него данные пользователя?

Есть ли какая-либо клиентская библиотека для декодирования HS256 для меня? Или это плохая практика, и ее следует избегать.

Answer 1

JWT является автономным и защищен цифровой подписью. Вы можете отлично использовать информацию, содержащуюся в токене, но вы должны проверить срок действия и убедиться, что цифровая подпись не была изменена.

Чтобы проверить подпись на стороне клиента, вам нужен ключ асимметричным и используйте открытый ключ для проверки. Может быть, отправить токен на сервер, чтобы сэкономить ваши проблемы. В зависимости от операции может взять на себя риск, до тех пор, пока лексема используется для autenthication на сервере, и он выполняет проверку

Есть ли Клиентская библиотека для декодирования HS256 для меня использовать? Или это плохая практика, и ее следует избегать.

На самом деле, вам не нужна библиотека. Полезная нагрузка кодируется в base64 url ​​и может быть легко декодирована на любом языке программирования. Для проверки цифровой подписи вам понадобится библиотека. Взгляните на jwt.io