Какой секретный ключ использовать в JWT?

Question

[Ibishka]

Да говорят использовать один ключ например qwerty для всех пользователей но проблема в том что если так то если злоумышленник узнает qwerty то завладеет всеми аккаунтами пользователей не должно ли быть ключ уникальным для всех пользователей если да то например что использовать?

Answer 1

[Rsa97]

Узнать ключ можно только взломав сервер. В этом случае знание кем-то ключа будет наименьшей из проблем.

Answer 2

[Pavel Shvedov]

Сгенери нормальный ключ, адекватной длинны и сложности, насколько я понимаю, это всего лишь соль, используемая для хеширования при генерации токена, зная ее это не значит, что ты знаешь все логины и пароли, это лишь значит, что не зная этой соли не сможешь искусственно сгенерить валидный токен

Answer 3

[Иван Шумов]

Во-первых, есть 2 основных способа генерации сигнатур: HS(симметричные) и RS(ассиметричные) токены. Конечно стоит использовать ассиметричные для пущей надежности.

Во-вторых, JWT это не про безопасность. Вся информация в токене - публичная и только клиент решает как к ней относиться. Всегда можно спросить сервер на предмет валидности данного токена.

Comments

[Ibishka]

Иван Шумов я вас понял но вот когда чел авторизуется создается JWT с id пользователя и сайт все загружает и выполняет проверив на валидность токена и брав id пользователя

[Stalker_RED]

Ibishka, да, и что?

[Ibishka]

Stalker_RED, то что если злоумышленник узнает секретный ключ он может с радостью заменить id и т.д данные JWT и он будет валидным

[Stalker_RED]

Ibishka, плохо будет, да. лучше, чтоб не узнавал.

[Иван Шумов]

Ibishka, это не совсем так работает. Кроме того у токенов есть срок годности и не только. Все там хорошо. А Client-side это максимально не безопасно, понятно.