Что будет, если изменить данные в JWT?

Question

Если изменить любые данные в JWT, его подпись станет невалидной. Сервер при проверке обнаружит это и отклонит токен. Даже изменение одного символа в payload приведёт к ошибке валидации. Поэтому JWT нельзя “подправить” на клиенте незаметно.

YeaHub · Accepted Answer

JWT защищает данные не шифрованием, а криптографической подписью, которая гарантирует целостность.ОпределениеПодпись JWT — это криптографическая проверка, которая подтверждает, что header и payload не изменялись после выпуска токена сервером.Как работает проверкаСервер создаёт токенФормирует header и payload.Подписывает их секретным ключом или приватным ключом.Клиент хранит и передаёт токенОбычно без изменений.Сервер проверяет подписьПересчитывает подпись.Сравнивает с той, что пришла в токене.Что происходит при изменении данныхPayload меняется → изменяется хэш.Подпись больше не совпадает.Сервер получает ошибку проверки.Запрос считается неавторизованным.Частый миф“JWT можно подправить, ведь это Base64” — неверно.Base64 — это кодирование, а защита строится на подписи.ВыводЛюбое изменение данных в JWT делает его недействительным, поэтому целостность токена надёжно защищена подписью.