Как генерировать уникальный ключ для JWT, если его не рекомендуется хранить в базе?

Question

[nepster-web]

Использую вот эту библиотеку: https://github.com/firebase/php-jwt
Как видно, для того, чтобы зашифровать/расшифровать токен необходим секретный ключ.

Если я хочу для безопасности для каждого токена генерировать свой уникальный ключ, то как я узнаю у кого, какой ключ если не буду хранить токеты в базе данных ?

Как кто, подходит к этому вопросу ?

Answer 1

[kulaeff]

Хм, JWT и так придуман для безопасности. И что значит для каждого токена генерировать уникальный ключ? Секретный ключ для того и нужен, чтобы подписывать токены. Секретный ключ знает только сервер. Сервер сгенерил и подписал токен, отдал на фронт, далее фронт сделал запрос, отослав вместе с запросом токен, а сервер, зная секретный ключ, декодирует этот токен и идентифицирует пользователя, не обращаясь в БД.

Comments

[nepster-web]

думаете, ему можно доверять ?=)

[DTX]

Вот-вот, велосипед какой-то автор изобретает.

[kulaeff]

nepster-web: кому доверять? Серверу? Ну, если предположить, что сервак взломали и взяли ключ, то это никак не недостаток ключа или JWT авторизации как технологии в целом. Это недостаток самого сервера и головная боль админа/провайдера. В таком случае нужно всего лишь поменять ключ. Для посетителя сайта это выльется в то, что его вдруг разлогинит и ему нужно будет просто залогиниться еще раз.

[nepster-web]

kulaeff: Вас понял, спасибо.

Answer 2

[Sergej]

Конечно его не надо хранить в БД.
Логин/Пароль прошли проверку, далее генерируется токен на основе данных пользователя, ролей и др. нужных нужных вам данных.
Вы отдаете токен на фронтенд.
При запросе с фронта, токен отправляется в заголовке X-AUTH-TOKEN.
Метод библиотеки проверят токен на валидность и может получить из него данные.

Comments

[nepster-web]

да все верно, но он генерируется и расшифровывается с помощью секретного ключа.
Я хочу для каждого токена свой ключ. Если я не буду хранить токеты в базе, я просто не смогу подобрать к ним ключ и расшифровать.

[Sergej]

nepster-web: я использую https://github.com/lcobucci/jwt
Секретный ключ можно формировать из UUID пользователя.
Тогда вы будите знать ключ и чей он.

[Sergej]

nepster-web: Вообще не вижу смысла в ключе.
Токен не подобрать, он уникальный всегда.

[nepster-web]

Doc: да, но без ключа я не смогу расшифровать токен, чтобы узнать тот самый id юзера.

[nepster-web]

Doc: это не совсем так, он уникальный всегда есть в нем разные данные и ключа разный.

[Sergej]

nepster-web: Мое мнение, вы слишком заморачиваетесь и ключи к jwt не нужены.
Есть базовый secret-key и его вполне хватает на все операции.
Токен формируется на основе набора данных и шифрованной соли (что бы токен был уникальный)

[nepster-web]

Doc: шифрованную соль вы имеете ввиду jti например ?

[Sergej]

nepster-web: да