240 发简信
IP属地:广东
  • 文章有一些错误,摘要、签名、编码、加密是不同的三个概念,这里被混淆了。
    使用base64url是把JSON编码,其实只不过是先扁平化再用64个可读无冲突字符来表达,毫无加密效果。SHA256的摘要只是为JSON数据生成一个“指纹”,防止被篡改,属于完整性范畴,也无任何加密效果,摘要不等于签名,签名是用私钥加密摘要。所以Token本身并没有任何加密机制,它依赖于HTTPS的通道保密能力。不过应该可以自己为Token增加加密机制,这就带来了额外的开销。