JWT 这种验证机制的安全性有多强?
JWT 最后是通过 Base64 编码的,也就是说,它可以被翻译回原来的样子来的。所以不要在 JWT 中存放一些敏感信息。
那安全保障主要来自那个加了 secret 的签名。
更换这个secret 会导致之前生成的所有 token 无效。
那这个 secret 肯定不会经常换的,要用很久。
那有没有可能某个用户拿到一个合法的 JWT 回去以后,通过暴力破解能把 secret 猜出来?
推荐文章: