如何使用公钥在AngularJS中解码JWT？

Question

我正在构建一个基于JWT的身份验证的AngularJS站点。当我成功登录到应用程序时，后端将返回一个JWT，并将其存储在localStorage中。

我希望在JWT声明中接收用户的角色，但是我从本地存储读取令牌，因此可以简单地修改它(例如:使用chrome工具)，恶意用户可以在JWT中放置假角色。

如何使用公钥在客户端验证令牌？我让NodeJS服务器使用它们对应的私钥使用jwt-simple生成令牌。

提前感谢！

Answer 1

恶意用户可以在JWT中放置假角色。

为什么这是个问题？恶意用户无法生成有效的令牌w/o，如果知道私钥，服务器将在下一个请求时验证JWT。

如果要验证JWT以正确显示GUI，可以使用JS库，例如http://kjur.github.io/jsjws/。