Команда Auth0 создала что-то под названием «angular-jwt», в котором есть класс jwtHelper. Эта штука успешно декодирует локальный JWT без секрета, который я использовал на сервере. Как это произошло? Если они не защищены, то какой смысл использовать секрет для их подписи/шифрования?
Функция на сервере, которая шифрует токен (используя «jsonwebtoken»):
function createToken (user) {
return jwt.sign(_.omit(user, 'password'), config.secret, { expiresInMinutes: 60*5 });
}
Код от клиента:
angular
.module('sample.home', [
'ui.router',
'angular-storage',
'angular-jwt'
])
.config(function ($stateProvider) {
$stateProvider
.state('home', {
url: '/',
controller: 'HomeCtrl',
templateUrl: 'modules/home/home.html',
data: { requiresLogin: true }
})
})
.controller('HomeCtrl', function homeController ($scope, $http, store, jwtHelper) {
$scope.jwt = store.get('jwt');
$scope.decodedJwt = $scope.jwt && jwtHelper.decodeToken($scope.jwt);
});
Вот ссылка на полный пример: https://github.com/auth0/angularjs-jwt-authentication-tutorial