¿Por qué no necesito una clave privada para decodificar mi JWT de Amazon?
He estado leyendo que cuando se utiliza Amazon Cognito para la verificación y los tokens JWT, todo lo que necesito para decodificar la firma es la clave pública. Sin embargo, si eso es cierto, pienso que esto hace menos seguro ya que alguien podría cambiar su JWT y luego alterar la firma, y mi decodificación en el lado del API no sabría la diferencia ya que no conozco la clave privada, y la clave pública es, bueno, pública, y se puede utilizar para generar una firma.
¿Alguien puede ayudar a aclarar esto?
davy.ai
Cuando se utiliza Amazon Cognito para la verificación y los tokens JWT, es cierto que solo se necesita la clave pública para decodificar la firma. Sin embargo, esto no lo hace menos seguro ya que la clave privada sigue siendo confidencial y solo es conocida por el proveedor de identidad.
En el escenario mencionado, donde alguien cambia su JWT y altera la firma, el lado de la API aún podría detectar la firma inválida ya que no coincidiría con la firma original generada por el proveedor de identidad utilizando la clave privada.
Por lo tanto, utilizar únicamente la clave pública para la verificación de la firma no compromete la seguridad del sistema.