JSON Web令牌（JWT）安全

Question

我正在使用Node.js，MySQL和JSON Web令牌来构建api。

我的智威汤逊是这样的：

eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJyb2xlcyI6WyJsb2dnZWRfaW4iLCJhZG1pbiJdLCJpZCI6NzEsImlhdCI6MTQ1OTQ0NjU5MCwiZXhwIjoxNDU5NTMyOTkwfQ.BBbdyFMztYkXlhcBjW6D5SsKxtaRiZJqiNShOroQmhk 

其索赔解码为：

{"roles":["logged_in","admin"],"id":71,"iat":1459446590,"exp":1459532990} 

当API端点收到智威汤逊，是比较安全的id为71所呼叫的用户表得到任何有关细节或使用智威汤逊ID？

理想情况下，我们会节省很多电话到用户表，但是有没有安全威胁？在调用端点之前，恶意用户不能更改该ID或角色吗？

Answer 1

JWT已签署。如果用户更改有效负载上的任何内容，则签名验证将失败，并且您将知道数据被篡改。

这就是说，数据本身没有加密。您可以使用用户标识 - 但不要添加可能公开的敏感信息。

更多关于JWT验证和生命周期：

https://github.com/auth0/node-jsonwebtoken#jwtverifytoken-secretorpublickey-options-callback