智威湯遜和類似的方法有多安全？

Question

我一直在閱讀有關JWT和CSRF token，據我所知他們是相同的東西（糾正我，如果我錯了）。但我有些懷疑。所以我的問題是：

1. 是JWT真的很安全嗎？
2. 由於令牌存在於客戶端。我的Signed key可以解碼嗎？
3. 是否有任何其他方式來驗證用戶而不保存服務器上的當前會話數據？ （你能添加一個鏈接嗎？）
4. 是我走的路，JWT，驗證用戶安全嗎？或者有沒有更好的辦法？

如果有幫助，我正在使用Node.js和AngularJs製作一個社交網站。

Answer 1

您對JWT和CSRF令牌錯了。

智威湯遜是您簽名或加密（或兩者）的一組聲明。這與簽名或加密郵件相同。

CSRF令牌通常是防止惡意腳本請求的任意字符串。這些字符串未加密或簽名。

1. JWE（已加密）和JWS（已簽名）使用由JWA定義的算法。所有這些算法（橢圓曲線，RSA ...）都足夠強大，以確保JWT的輸入。

2. 當你寫Signed key，我想你是在談論你的公鑰。這與您提供公共證書或使用S/MIME簽署電子郵件時完全相同。

3. 智威湯遜不打算存儲會話數據，而是存儲簽名或加密（或兩者）的聲明。

4. JWS通常用於認證用戶。例如，OpenID Connect通過OAuth2使用JWT。