siw*_*lek 2 php security http single-sign-on jwt
我想知道如何在 SSO 和客户端之间共享 JWT 的密钥?每当创建令牌时,密钥是否应该随机生成?
如果您希望客户端验证 JWT,您可以使用非对称密钥对 (RSA) 代替对称密钥 (HMAC) 来颁发 JWT,然后使用私钥对令牌进行签名并通过公钥进行验证。
私钥安全地存储在您的服务器中,您将公钥提供给客户端。将公钥发送给客户端或公开不存在安全风险。避免与您的客户共享对称密钥(用于签名和验证的相同密钥),因为这样他就可以创建令牌
密钥应随机生成,并且对于所有已发布的 JWT 都是相同的