什么是签名身份验证令牌?
What is signed authentication token?
目前我正在学习 JWT,并从基于令牌的身份验证开始。我不明白 the article:
的句子
Token based authentication works by ensuring that each request to a
server is accompanied by a signed token which the server verifies for
authenticity and only then responds to the request.
什么是签名令牌?签署令牌是什么意思?我在 SO 上找不到问题。
签名是可以验证的东西。
您要解决的主要问题是:服务器创建一些任意值,即令牌,并将其提供给客户端。客户端随后将其返回给服务器作为某些东西的证明(例如,证明他们已通过身份验证)。现在,服务器如何确定令牌是真实的,而不是客户端随便编造的?
这就是签名的来源。它是令牌的一部分,服务器可以验证它之前是否创建了该签名,并且该签名是为此特定令牌创建的。简而言之,签名是令牌内容的哈希加上只有服务器拥有的秘密;为了验证签名,服务器重复令牌内容的散列和只有它拥有的秘密,如果匹配,则意味着令牌的签名必须以相同的方式创建,以确保两个所需的真实性属性。
有关如何具体计算 JWT 签名的详细信息,请阅读 the specification。
目前我正在学习 JWT,并从基于令牌的身份验证开始。我不明白 the article:
的句子Token based authentication works by ensuring that each request to a server is accompanied by a signed token which the server verifies for authenticity and only then responds to the request.
什么是签名令牌?签署令牌是什么意思?我在 SO 上找不到问题。
签名是可以验证的东西。
您要解决的主要问题是:服务器创建一些任意值,即令牌,并将其提供给客户端。客户端随后将其返回给服务器作为某些东西的证明(例如,证明他们已通过身份验证)。现在,服务器如何确定令牌是真实的,而不是客户端随便编造的?
这就是签名的来源。它是令牌的一部分,服务器可以验证它之前是否创建了该签名,并且该签名是为此特定令牌创建的。简而言之,签名是令牌内容的哈希加上只有服务器拥有的秘密;为了验证签名,服务器重复令牌内容的散列和只有它拥有的秘密,如果匹配,则意味着令牌的签名必须以相同的方式创建,以确保两个所需的真实性属性。
有关如何具体计算 JWT 签名的详细信息,请阅读 the specification。