1
我已經在我的react-native項目中啓動並運行了JWT身份驗證。現在我發出的每個請求都會被標記爲authorization。Json Web令牌可以僞造或模擬嗎?
據我瞭解,當服務器收到我的令牌,它會被解碼成類似:
{ sub: user.id, iat: timestamp, email: user.email }
那麼服務器將基於該user.id認出我來。
但是由於標題中只包含標記,標題中沒有userId,服務器如何知道我真的是那個標識的人?說一個黑客得到了我的代幣,那麼他能僞造我並與服務器交談嗎?
[瞭解JSON Web令牌(JWT)的5個簡單步驟](https://medium.com/vandium-software/5-easy-steps-to-understanding-json-web-tokens-jwt-1164c0adfcec#。 jeug98kir) –