ara*_*aki 5 security signing jwt
我想在我的应用程序中使用 JWT。现在我想知道使用用户密码与私人秘密结合作为签名我的令牌的密钥是否安全。这样,如果用户更改其密码,令牌就会失效。但这也许会让我的私人秘密变得脆弱?感谢您对此的想法!
通常的做法是使用相同的密钥对所有令牌进行签名。简化管理,避免每次请求都查询数据库。
使用密钥+用户密码进行签名是可行的,并且具有允许撤销令牌的优点(具有注释的缺点)。
确保您的签名密钥足够安全(从用户密码派生)并且具有所选签名算法的建议长度。不要直接存储或使用用户的密码。
| 归档时间: |
|
| 查看次数: |
1940 次 |
| 最近记录: |