In che modo l'angolare-jwt decodifica il mio JWT senza un segreto?

Question

Il team Auth0 ha creato qualcosa chiamato "angular-jwt" che ha una classe jwtHelper. Questa cosa decodifica correttamente un JWT locale senza il segreto che ho usato sul server. Come è successo? Se non sono sicuri, allora qual è il punto di usare un segreto per firmarli/crittografarli?

funzione sul server che cripta il token (usando "jsonwebtoken"):

function createToken (user) { 
    return jwt.sign(_.omit(user, 'password'), config.secret, { expiresInMinutes: 60*5 }); 
} 

Codice da parte del cliente:

angular 
    .module('sample.home', [ 
     'ui.router', 
     'angular-storage', 
     'angular-jwt' 
    ]) 
    .config(function ($stateProvider) { 
     $stateProvider 
      .state('home', { 
       url: '/', 
       controller: 'HomeCtrl', 
       templateUrl: 'modules/home/home.html', 
       data: { requiresLogin: true } 
      }) 
    }) 
    .controller('HomeCtrl', function homeController ($scope, $http, store, jwtHelper) { 

     $scope.jwt = store.get('jwt'); 
     $scope.decodedJwt = $scope.jwt && jwtHelper.decodeToken($scope.jwt); 

    }); 

Ecco un link per l'esempio completo: http://github.com/auth0/ang...

Answer 1

Un JWT utilizza la codifica, non la crittografia. I dati contenuti nel token non sono segreti, chiunque può decodificarli e visualizzarli. Quello che fa il server è che firma il token usando un segreto (nel tuo caso, config.secret), che rende effettivamente impossibile modificare il token senza conoscere il segreto. Quindi, solo il server sarà in grado di modificare il contenuto del token, ma chiunque può leggerlo.