Ho creato un token con la chiave privata di JWT, ma quando provo a decodificarlo su http://kjur.github.io/jsjws/tool_jwt.html, ho trovato che il token può essere decodificato senza alcuna chiave fornita. Quindi è corretto che il token JWT sia solo una firma? Come mantenere il token decodificato senza la chiave?Decodifica di token JWT senza il segreto
Esistono due modi in cui una chiave pubblica/privata può essere utilizzata da una JWT: firma e crittografia.
Se si utilizza una chiave privata per la firma, consente al destinatario di identificare il mittente del JWT e l'integrità del messaggio non nascondendo il suo contenuto dagli altri (riservatezza). Si noti che sarebbe la chiave privata del mittente che viene utilizzata per firmare il JWT e produrre un oggetto JSON Web Signature (JWS). Apparentemente questo vale per il JWT che stai guardando.
Quando si utilizza una chiave pubblica per la crittografia, può essere utilizzato per nascondere il contenuto da chiunque tranne il destinatario previsto. Il risultato è un oggetto di crittografia Web JSON. Si noti che sarebbe la chiave pubblica del destinatario utilizzata per crittografare il JWT. Apparentemente è quello che stai cercando.
molte grazie, Hans, questo è in realtà ciò di cui ho bisogno. – user440446
Cerca intorno per 'JWE' (' JSON Web Encryption'), che è un modo di rappresentare JWT di in modo criptato. – robertklep