JWT存在哪些潜在隐患?源码分析揭示真相。
- 内容介绍
- 文章标签
- 相关推荐
本文共计2519个文字,预计阅读时间需要11分钟。
我们常认为JWT的三部分是用`Base64`加密的,实际上并不完全准确。因为其确切的加密方式是`Base64Url`,而非单纯的`Base64`。没有深入理解的我們,往往误以为就是纯粹的base64,但实际上在大多数情况下确实如此。
我们都以为Jwt三部分是用`Base64`加密,其实不完全对,因为他确切的加密方式是`Base64Url`加密,没有深入理解的我们只以为就是纯粹的base64,而且在大部分情况下确实是这样,更加坚定了我们这种错误认知。而只有当Base64加密后出现字符`+`或`/`时,才会有所不同,希望对大家有帮助。 前言JWT是目前最为流行的接口认证方案之一,有关JWT协议的详细内容,请参考:jwt.io/introduction
今天分享一下在使用JWT在项目中遇到的一个问题,主要是一个协议的细节,非常容易被忽略,如果不是自己遇到,或者去看源码的实现,我估计至少80%的人都会栽在这里,下面来还原一下这个问题的过程,由于这个问题出现有一定的概率,不是每次都会出现,所以才容易掉坑里。
本文共计2519个文字,预计阅读时间需要11分钟。
我们常认为JWT的三部分是用`Base64`加密的,实际上并不完全准确。因为其确切的加密方式是`Base64Url`,而非单纯的`Base64`。没有深入理解的我們,往往误以为就是纯粹的base64,但实际上在大多数情况下确实如此。
我们都以为Jwt三部分是用`Base64`加密,其实不完全对,因为他确切的加密方式是`Base64Url`加密,没有深入理解的我们只以为就是纯粹的base64,而且在大部分情况下确实是这样,更加坚定了我们这种错误认知。而只有当Base64加密后出现字符`+`或`/`时,才会有所不同,希望对大家有帮助。 前言JWT是目前最为流行的接口认证方案之一,有关JWT协议的详细内容,请参考:jwt.io/introduction
今天分享一下在使用JWT在项目中遇到的一个问题,主要是一个协议的细节,非常容易被忽略,如果不是自己遇到,或者去看源码的实现,我估计至少80%的人都会栽在这里,下面来还原一下这个问题的过程,由于这个问题出现有一定的概率,不是每次都会出现,所以才容易掉坑里。