Где хранить секретный ключ, если приложение работает в режиме SPA (NUXT)?

Question

[Игорь]

Коллеги добрый день!
Где хранить секретный ключ, для верификации JWT?

О чём я?

Я понимаю принцип работы JWT и как проверять и где хранить если речь идёт об API
Но где хранить секретный ключ, для проверки токена

Получается, что для защиты маршрутов в NUXT и защиты методов API я использую 1 секретный ключ.
Проверка токена на сервере и проверка токена в клиенте.

Но ведь коню понятно, что константа, которая будет скачена браузером будет находиться в клиенте

Например:


Вот например тут тоже как то поверхностно и секретный ключ хранится в коде
Тыц

Answer 1

[Robur]

На сервере и хранить.
На клиенте jwt можно проверять если он подписан по схеме public/private (RSA или ECDSA)
Если у вас подпись HMAC - то проверка токена на клиенте делается путем запроса на бекенд.

Comments

[Игорь]

Такс, мне кажется исчерпывающий ответ.

RSA - проверяем подпись на сервере по приватному ключу, а публичный использовать для защиты роутинга, хотя могу здесь ошибаться.

HMAC - Проверка только на сервере, так как, проверку нужно осуществлять с использованием секретного ключа.

И тут следует определиться, если высоко нагруженное приложение, то RSA.
Если такой же ресурс, но с меньшей нагрузкой, например, административная панель, можно использовать HMAC

Поправьте меня.

Спасибо!

[Robur]

RSA - проверяем и на клиенте и на сервере по публичному ключу. Приватный знает только тот кто JWT создал и это не обязательно наш сервер.

Не уверен как в вашем понимании связаны нагрузка и тип проверки, проверка подписи обычно занимает небольшую часть во всем запросе. Но я не изучал какой метод быстрее, и если разница большая то при высокой нагрузке может иметь значение.

[Игорь]

Robur, тут ещё одна не озвученная деталь
Мы же говорим о "SPA" и конкретно об административной панели.
Админка реализована на Nuxt и работает в режиме "SPA"

В админке нет дикой смены "роутинга", вполне легально и без затрат можно проверить токен обратившись к серверу при смене страницы.

Какая-то очевидная вещь получилась, зачем я задал вопрос.
В любом случае спасибо.
Вы внесли вклад в моё развитие и других людей.