我有一個已簽名的JWT字符串,我從服務器獲得。我不知道密鑰,或者我不想將密鑰放在客戶端/設備上。Android JWT在簽名時分析有效負載/聲明
當我的令牌使用此網站時:https://jwt.io/我得到了所需的結果,它告訴我Header和有效負載信息。
我無法找到一個Android的圖書館,做這個網站做什麼,我已經嘗試了所有我能找到的。最公認的一個使用是:https://github.com/jwtk/jjwt
但這給了我一個例外,我不能解析簽名的令牌,如上面的其他網站證明是錯誤的。我使用的另一個資源是:https://bitbucket.org/b_c/jose4j/wiki/Home
這一個至少給了我最遠的頭信息,我已經能夠得到。
爲了給出上下文爲什麼它是這樣的,有效載荷包含到期時間,並且在令牌即將到期時在設備上,我應該提示用戶重新輸入他們的憑證以獲得新的令牌。現在這可能看起來像一個安全威脅,因爲黑客可以操縱設備上的令牌,但服務器檢查令牌以確保它是可信的,這就是爲什麼我不需要設備上的密鑰,因爲這可以通過黑客,並使整個應用程序易受攻擊。