Д
Почему на клиенте?
Size: a a a
2020 October 10
Д
Ты этот токен сначала выдал клиенту
Д
Ну всмысле да. Ты выдал токен. Клиент может видеть содержимое токена.
Д
Но изменить его не может
NO
ок
RT
Ну если у клиента есть приватный ключ он и сам может создать валидный токен
RT
Но обычно это конечно сервер делает
Д
Ну если у клиента есть приватный ключ он и сам может создать валидный токен
Какой юзкейс у этого ? Если есть гарантия что ключ не может быть украден ?
RT
Никаких кейсов. Я про теорию
RT
Клиент кстати тоже может проверить что токен ему выдал именно тот самый сервер/провайдер
RT
Тоже полезно
RT
Эпл ид работает на jwt
NO
с т.з. безопасной коммуникации, надо обменяться публичными ключами серверу и клиенту, а потом подписывать приватными каждое сообщение и ответ
NO
а так какое-то половинчатое решение
NO
спёрли токен, получили доступ
RT
спёрли токен, получили доступ
Ну да, так все oauth работают
Д
Клиент кстати тоже может проверить что токен ему выдал именно тот самый сервер/провайдер
Как ?
RT
Там можно делать публичные ключи jwk
RT
И проверять
Д
А. Ну если шифрование с приватным и публичным ключём. Точно