Base64URL و JWT: فك الترميز لا يعني الثقة
تستخدم JWT صيغة Base64URL. اقرأ الحمولة، ثم تحقق قبل الثقة.
ثلاثة أجزاء
تتكون JWT الموقعة غالبا من header وpayload وsignature تفصل بينها نقاط.
يتغير محرفان
يستبدل Base64URL + بـ - و/ بـ _. وتحذف JWT حشو = النهائي.
القراءة ليست تحققا
يمكن قراءة iss وsub وaud وexp من payload. هذا لا يثبت التوقيع ولا المصدر. يجب على الخادم التحقق من التوقيع أو MAC بالمفتاح الصحيح.
انتبه إلى alg
يحدد التطبيق الخوارزميات المقبولة. أي قيمة alg غير متوقعة يجب أن تفشل التحقق.
تصحيح واضح
قسّم الرمز بالنقاط، فك أول جزأين كـ Base64URL، أضف الحشو إذا طلبت الأداة، ثم تحقق من التوقيع والمصدر والجمهور والزمن.