このタグの記事 1 件
JWTは、サーバが署名して発行する改ざん不能な『通行証』。header.payload.signatureの3部からなり、サーバは署名で本物か検証する。要注意=①署名を必ず検証し期待するalgを固定(alg:none拒否)②中身は誰でも読めるので秘密を入れない③有効期限を短くし失効戦略を持つ。デコード(中身を読む)と検証(署名で本物か確かめる)は別物。