Как расшифровать JWT токен и получить его сигнатуру?

Возраст целевой аудитории форума 13 лет, что вы ожидаете услышать?

--- Сообщение объединено с предыдущим 3 апр 2024

JWT состоит из трёх частей, разделённых точками. Первая часть - заголовок, вторая - полезная нагрузка (payload), третья часть - подпись. Подпись представляет из себя шифрованный по ключу хэш от первых двух частей.

При выдаче токена сервер генерирует заголовок и полезную нагрузку, записывает их в JSON и кодирует в модифицированный BASE64. Получается две строки. Эти строки объединяются через точку и от полученной общей строки вычисляется подпись. Конкретный алгоритм вычисления указан в заголовке. Далее подпись через точку присоединяется к строке и получается полный токен.

При получении запроса с токеном сервер разделяет токен на части, распаковывает заголовок и находит алгоритм подписи. Затем он вычисляет контрольную подпись от первых двух частей токена и сравнивает её с полученной в токене. Если они совпадают, то токен признаётся правильным.

При использовании симметричного алгоритма один и тот же ключ знают как сервер, выдающий токен, так и сервер, проверяющий его. Асимметричное шифрование позволяет выдавать токен на одном сервере по закрытому ключу, а проверять на другом сервере по парному открытому ключу.

--- Сообщение объединено с предыдущим 3 апр 2024

https://qna.habr.com/q/841331 ( не реклама )

 

легко - тебе всего лишь нужно проникнуть в их инфраструктуру, залезть в хранилище секретов и спиздить приватный ключ, а в остальном - никак)