请稍等 ...

给每个登陆请求返回一个randomKey意义何在呢？

不是很明白为什么要给每个登陆请求返回一个randomKey。

如果一个人伪造了randomKey，并且伪造了header和payload，那么如果这个人知道了微服务里用的是什么加密算法，不就也能算出相应的signature吗？
假如微服务用SHA256加密算法，那么我们可以根据伪造的header、伪造的payload、伪造的randomKey算出伪造的signature：
伪造的signature = SHA256(header.payload, 伪造的randomKey)

把这些伪造信息传给微服务，不就能骗过JWT验证了吗？这样一来randomKey还有什么意义呢？

慕勒4339842 2019-12-23 16:51:01

源自：11-5 JWT验证演示

729

收起

提交取消

1回答

Allen 回答被采纳获得+3积分 2019-12-25 10:56:55

这个是作为预留的，对称加密的安全性都是靠加“盐”来增加安全性，这是randomkey的意义，就是用来当做盐使用的

1 回复有任何疑惑可以回复我~

收起回答

提问者慕勒4339842 #1

这个randomKey和服务器保存的密钥secrete有什么关系呢？产生一个JWT token不是只需要服务器有一个不外泄的密钥secret就行了嘛？为什么还要randomKey？

回复有任何疑惑可以回复我~ 2019-12-25 13:12:24

Allen 回复提问者慕勒4339842 #2
```
但是这个密钥需要前端知道呀，不然用户输入的数据要怎么加密呢
```
回复有任何疑惑可以回复我~ 2019-12-25 22:31:23

提问者慕勒4339842 回复 Allen #3

用户输入的什么数据需要加密呢？用户的密码吗，还是什么其他隐私数据吗？

回复有任何疑惑可以回复我~ 2019-12-26 01:40:21

点开查看后面7条评论

相似问题

微信扫码登陆怎么用shiro鉴权

关于一个取消请求的问题

老师，想问你个问题，关于单点登录

JSESSIONID 如何生成的

如何设置全局的头部信息，用于登录授权验证

登录后可查看更多问答，登录/注册

解锁SpringCloud主流组件解决微服务诸多难题

参与学习 794 人
解答问题 291 个

精讲gateway、Eureka、Ribbon、Zuul、Hystrix、Feign等特性

了解课程

本课精华内容

问答作业