Açısal-jwt JWT'yi bir sırrı olmadan nasıl çözebilir?

Question

Auth0 ekibi, jwtHelper sınıfına sahip "angular-jwt" adlı bir şey oluşturdu. Bu şey, sunucuda kullandığım gizli bir yerel JWT'yi başarıyla çözer. Bu nasıl oldu? Güvenli değilse, o zaman onları imzalamak/şifrelemek için bir sır kullanmanın amacı nedir? ("Jsonwebtoken" kullanarak) belirteci şifreler sunucuda

İşlev: istemciden

function createToken (user) { 
    return jwt.sign(_.omit(user, 'password'), config.secret, { expiresInMinutes: 60*5 }); 
} 

Kodu: http://github.com/auth0/ang...

Answer 1

: Burada

angular 
    .module('sample.home', [ 
     'ui.router', 
     'angular-storage', 
     'angular-jwt' 
    ]) 
    .config(function ($stateProvider) { 
     $stateProvider 
      .state('home', { 
       url: '/', 
       controller: 'HomeCtrl', 
       templateUrl: 'modules/home/home.html', 
       data: { requiresLogin: true } 
      }) 
    }) 
    .controller('HomeCtrl', function homeController ($scope, $http, store, jwtHelper) { 

     $scope.jwt = store.get('jwt'); 
     $scope.decodedJwt = $scope.jwt && jwtHelper.decodeToken($scope.jwt); 

    }); 

tam örnek bir bağlantı var

JWT, şifrelemeyi değil şifrelemeyi kullanır. Jetonun içerdiği veriler bir sır değildir, herkes onu çözebilir ve görüntüleyebilir. Sunucu ne yapar, bir sır kullanarak belirteç işaretler mi (sizin durumunuzda, config.secret), bu da sırrı bilmeden belirteci değiştirmeyi imkansız kılar. Dolayısıyla, yalnızca sunucu belirtecin içeriğini değiştirebilir, ancak herkes okuyabilir.