1、JWT 可以被解密看到payload数据是否不安全?
payload 中放的是非敏感数据,
可以被解密看到headers和payload,但是看不到Key,所以其他人不能生成你的token,你的接口便只能用你自己生成的Token
2、HS*与RS*加密算法有何不同?
HS256为对称加密算法故密钥只有一个且密钥长度不限制,RSA为非对称加密故分公钥私钥更安全且密钥长度最小为1024
3、获取了token后不是可以访问你的所有要求授权的API,那么token泄露岂不是很不安全?
token为用户登录后获取的唯一标识,token被窃取相当于用户名和密码被窃取,token为用户的通行令牌,用户主动泄露,为用户责任,故传输过程中应使用Https协议传输,防止传输过程中token被窃取
4、如何防止一个用户多个Token?
token被生成一般为login方法,用户登录后将用户的Token缓存到数据库中,
当用户再次登录时,更新token,这样可以实现设备A登录后,设备B又登录,则设备A需要重新登录,
也可以通过限制Token个数,限制用户的登录设备数
5、JWT的token和Redis/Memchche缓存的Guid Token对比?
Redis/Memchche 缓存的用户token主要是用于传统的多服务器部署的同一应用程序的分布式系统,使同一个程序在不同的服务器之间可以使用统一的通用令牌,
JWT的Token 不只适用于传统的多服务器的同一应用程序的分布式系统,更适用于SSO 单点登录系统,
使分布式发布的不同应用程序之间实现一次登录均可访问需要授权的应用程序(主要使API)
参考文章:
JWT面试常见问题
AspNetCore JWT生成Token 非对称加密RSA用法 PEM转XML
.Net WebAPI JWT身份验证
————————————————
版权声明:本文为CSDN博主「战时事」的原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/liuruiying123/article/details/104002869