签名是结合了 摘要 和 非对称加密,对摘要结果做加密的形式完成
公钥解密:公开的公钥做解密操作,验证解密后的内容是不是 私钥加密:保密的私钥做加密操作 - 签名 , 只有部分人才可以签名
这里其实可以埋一个坑,我们都知道 签名验证是公钥对私钥加密的内容解密做到的,那么怎么保证公钥不会重放攻击呢? 如果公钥本身就是攻击者的,那么攻击者直接使用自己的私钥对摘要加密之后,传输就可以模拟了。
JWT凭证 是对 payload 做解密 , 获取到hash内容 ,然后对 payload 再次hash 来验证是不是被修改了