#javascript #node.js #jwt
#javascript #node.js #jwt
Вопрос:
Я хочу использовать веб-токены json из auth0 без какой-либо аутентификации / подписи для NodeJS. Я знаю, что можно определить ‘alg’ как ‘none’ при создании токена следующим образом:
var token = jwt.sign({ foo: 'bar' }, cert, { algorithm: 'none'});
Но поскольку я не использую никакой подписи, как я могу создать токен без части ‘cert’? Я предполагаю, что я ожидаю, что я вставлю закрытый ключ. Но поскольку я бы не стал использовать его ни для чего, я не понимаю, в чем смысл?
Комментарии:
1. Вероятно, вы уже знаете это, но на всякий случай: если вы используете JWT для хранения состояния, связанного с безопасностью, на клиенте, и оно не подписано, клиент может изменить JWT, чтобы включить любую область, состояние входа и т. Д.
Ответ №1:
Просто передайте null :
var token = jwt.sign({ foo: 'bar' }, null, { algorithm: 'none'});
Комментарии:
1. Спасибо, я скоро протестирую это!