我对这个领域很新,但我试图使用JWT Nuget package生成JWT。
我的理解是你提供一个秘钥来签署Token,但是当我得到Token后,我去JWT网站测试它时,这个网站能够解码Token而无需我提供秘钥。
我认为你应该先生成Token,然后再签署它以防止任何人知道Token的内容,除非他们有那个秘钥。但情况并非如此吗?
我对这个领域很新,但我试图使用JWT Nuget package生成JWT。
我的理解是你提供一个秘钥来签署Token,但是当我得到Token后,我去JWT网站测试它时,这个网站能够解码Token而无需我提供秘钥。
我认为你应该先生成Token,然后再签署它以防止任何人知道Token的内容,除非他们有那个秘钥。但情况并非如此吗?
access_token
; access_token
是在身份验证过程中加密的数据,并且可以附加声明(例如角色)。 应用程序使用的其他数据可能不是敏感的,也可能不需要包含在access_token
中(令牌类型、过期时间等)。 - Claies