Jak funguje jwt token?

Může mi někdo prosím vysvětlit, jak funguje jwt?

Mám na serveru RS256 (private a public klíč) který dekóduje/kóduje JWT token, ve kterém je user ID.

Tento token dokáže rozšifrovat jakýkoliv online tool bez klíče a nejen to, i vytvořit, takže si můžu udělat token s jakým chci id a vydávat se za jiný usery.

Generator třeba tady:
http://jwtbuilder.jamiekurtz.com/

Díky za vysvětlení

Předmět	Autor	Datum
Podpis není šifrování. Je to jenom ověření, že ten token neupravila nežádoucí osoba. Wikan 08.11.2020 16:56	Wikan	08.11.2020 16:56
Mam tedy v nem zasifrovat user id, nebo ho ukladat do db a porovnavat vuci db? Abych vedel jaky uziv… ctiborrek2 08.11.2020 16:59	ctiborrek2	08.11.2020 16:59
Nemusíš v něm šifrovat nic. A JWT se používá mimo jiné k tomu, abys do DB sahat nemusel. Wikan 08.11.2020 17:09	Wikan	08.11.2020 17:09
Tak pak to nechápu, mám mechanismus podobný base64 do kterýho schovám userId a každý to může nafejko… ctiborrek2 08.11.2020 17:12	ctiborrek2	08.11.2020 17:12
No to nemůže. Nebude mu pak sedět podpis. Wikan 08.11.2020 17:14	Wikan	08.11.2020 17:14
Už vím v čem jsem měl problém, já jsem ten token pouze "rozbalil" a neproháněj jsem ho tím validátor… poslední ctiborrek2 08.11.2020 17:50	ctiborrek2	08.11.2020 17:50

Podpis není šifrování. Je to jenom ověření, že ten token neupravila nežádoucí osoba.

Mam tedy v nem zasifrovat user id, nebo ho ukladat do db a porovnavat vuci db? Abych vedel jaky uzivatel vykonal aktualni request?

Nemusíš v něm šifrovat nic. A JWT se používá mimo jiné k tomu, abys do DB sahat nemusel.

Tak pak to nechápu, mám mechanismus podobný base64 do kterýho schovám userId a každý to může nafejkovat a dát si tam co chce.

No to nemůže. Nebude mu pak sedět podpis.

Už vím v čem jsem měl problém, já jsem ten token pouze "rozbalil" a neproháněj jsem ho tím validátorem - který validoval podpis, jak říkáš. Teď když validátorem proženu falešný token tak to neprojde.

Dík

Zpět do poradny Odpovědět na původní otázku Nahoru