سلام و درود، وقتتون بخیر
ببخشید یه سوال داشتم این JWT که به اصطلاح یک راه امن برای تبادل اطلاعات هستش، اگر این رشته انکود شده به طریقی در اختیار بقیه افراد قرار بگیره، همونجور که ما داخل سایت JWT قرار میدیم و دیکود میشه و اطلاعات اصلیش که داخل payload هست رو نشون میده، خب پس چطوره که میگن امنه؟
سلام
در واقع JWT یک استاندارد برای تبادل اطلاعات است و ذاتا ایمن نیست. JWT این امکان رو داره بنا بر شرایط به روش های مختلفی استفاده بشه. اگر از JWT استفاده بشه در صورتی که توکن sign بشه فقط می توان این اطمینان رو داشت که اطلاعات تغییر نکرده و معمولا در این شرایط اطلاعات حساسی در payload اون قرار نمیدن!
اگر اطلاعاتی که در payload هست حساس باشه با استفاده از JWE می توان این مقادیر رو ایمن تبادل کرد