如果我在自己这边生成令牌并用我看到的数据填充它,系统将如何区分我的令牌和它自己的令牌?
好的。如果您知道服务器使用的秘密,您可以这样做。如果这个秘密不再是秘密,那么JWT令牌的安全模型就会从根本上被打破,没有什么能拯救它。
通常,HMAC SHA256用于身份验证:
JSON Web令牌(JWT)是一种紧凑的、URL安全的方法,用于表示双方之间要传输的声明。JWT中的声明被编码为JSON对象,该对象用作JSON Web签名(JWS)结构的有效负载或JSON Web加密(JWE)结构的明文,从而使声明能够通过消息身份验证代码(,MAC)和/或加密受到数字签名或完整性保护。