我正在阅读关于JWT Web令牌作为发送给用户的访问令牌的文章。其中一些提到Web令牌应该能够被用户解码。
这是否意味着解密整个Web令牌是不好的做法?例如,假设我返回以下JWT Web令牌,其中包含可以解码的信息。
然而,我觉得我不想让用户能够解码他/她的访问令牌,所以我使用另一种加密算法将所有内容加密成另一种形式,并传回给用户。
因此,当我在服务器上获取访问令牌时,我会解密这个新的文本并进行解码。
如果我不希望向用户公开某些可用的声明值(例如用户ID),这种做法是否被推荐?如果不是,有什么替代方案?
这是否意味着解密整个Web令牌是不好的做法?例如,假设我返回以下JWT Web令牌,其中包含可以解码的信息。
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ
然而,我觉得我不想让用户能够解码他/她的访问令牌,所以我使用另一种加密算法将所有内容加密成另一种形式,并传回给用户。
因此,当我在服务器上获取访问令牌时,我会解密这个新的文本并进行解码。
如果我不希望向用户公开某些可用的声明值(例如用户ID),这种做法是否被推荐?如果不是,有什么替代方案?