스택큐힙리스트

만약 JWT를 얻고 페이로드를 디코딩할 수 있다면, 어떻게 보안이 되는 건가요? 그냥 헤더에서 토큰을 가져와 디코딩하고 페이로드에서 사용자 정보를 변경한 다음 올바로 인코딩된 비밀 키로 다시 보내면 안 될까요? 그들은 안전해야 한다는 건 알겠지만, 기술을 이해하고 싶습니다. 뭘 놓치고 있는 건가요?답변 1메시지를 받을 때, Bob은 해시(payload + 비밀값)을 계산하여 서명이 일치하는지 확인할 수도 있습니다. 그러나 Mallory가 내용을 변경한다면, 일치하는 서명(해시(새로운내용 + 비밀값))을 계산할 수 없습니다. 그녀는 비밀값을 알지 못하고 알 방법도 없습니다. 이것은 그녀가 무언가를 변경한다면, 서명이 더 이상 일치하지 않을 것이며, Bob은 그때부터 JWT를 더 이상 수락하지 않을 것입니다..