我是否应该对包含JWT的cookie进行签名以进行授权? 当用户试图使用https://JWT.io/来解码JWT时,对包含JWT的cookie进行签名是否会使JWT无法被用户读取,从而使其更加安全?
根据我对JWT的有限经验,我认为你的签名过程和JWT的解码过程是独立的。 但是要使JWT有效,它应该在发出时到达服务器(意思是在它被签名时到达)。 此外,智威汤逊并不打算保守秘密。 您可能有兴趣查看这些关于JWT的教程,我自己在那里学到了很多。
