温馨提示:文本由机器自动转译,部分词句存在误差,以视频为准
00:00
好,JWT呢,它默认是不加密的啊,哪部分是不加密的呢?就是中间这部分是不加密的,刚才也跟大家说了,所以这部分不要写这个敏感信息,但是你说我觉得虽然是非敏感信息,用户名啊什么这些东西我也不想暴露出去,那你也可以对它进行加密,那这个如果要加密的话,那你就自己自行的对中间那部分进行采用,你自己就是你们自己约定好的加密方式加密就行了啊这个是业务当中的内容了,所以并不是说不加密就不能加是可以的,好然后呢,那加密的方案呢,就是生成原始令牌之后,然后呢再次对其进行加密,那加密的方案你就自己选了,什么MD5呀,对吧,SHR56啊都可以,然后呢啊,所以刚才也提到了,如果没有加密的话,那你就不能传私密数据啊,然后呢,再有就是认证,认证刚才我们说的就是它的一个,呃,使用场景就是用于单点登录,另外呢,还可以用于信息交换,就是其实不单单只是用于单点登录,只要是访。
01:01
问,远程的API接口,你觉得这个访问者和被访问者之间,他们两个存在不互信这样的一个问题,那么就可以用DWT作为一个信息交换的凭证啊,然后我们传过去JWT,对方对JWT进行校验,校验成功了再把信息给你,所以这个呢,其实就是远程接口的一个访问方式,你可以把它理解为类似于我们访问阿里云的时候的那个access key secret,是不是啊,就是相当于一个呃,这个密码似的啊,好,这个密码校验对了,那么我就给你访问这个接口校验不对,我就不给你访问。当然了,实际的情况呢,要比刚才我说的这个要复杂一些啊,并不是说你把密码给他,他就直接校验,中间还有一系列的算法那。缺点呢,也有就是不保存会话状态,刚才我提到了就是服务器端没有办法存这个用户信息,那么导致呢,服务器端没有办法销毁啊,只要服务器端啊没有办法销毁,那么客户机端只要不过期,或者是客户端只要不删除,那这个令牌就会一直生效的啊,然后接下来呢,就是JWT本身呢,它实际上是自包含令牌,所以呢,它包含认证信息,包含用户信息,那么也难免会引就是出现一些用户信息泄露的问题,但是因为我们一般情况下会在JWT令牌当中不会存储那些敏感信息,所以呢,这个其实也不会构成太多的安全性威胁啊。好,然后呢,如果你是还是对这个啊,就是JWT的这个泄露啊存有一定的顾虑的话呢,那么一般情况下,我们都会给GWT设置一个不太长的一个过期时间啊,所以这个也是一个解决方案啊,然后呢,在实际的企业开发的过程当中呢,我们真正。
02:46
做应用程序部署的时候,一般情况下都会把程序整个部署成HTTPS的,而不是HTTP的,这样的话呢,进一步的会减少我们对WT的这个被盗用或者是被窃取的这样的一个风险,来增加它的安全性,好所以这个是JWT的一个主要问题,这块大家简单的了解一下就可以了啊。
我来说两句