@Ibishka

Какой секретный ключ использовать в JWT?

Да говорят использовать один ключ например qwerty для всех пользователей но проблема в том что если так то если злоумышленник узнает qwerty то завладеет всеми аккаунтами пользователей не должно ли быть ключ уникальным для всех пользователей если да то например что использовать?
  • Вопрос задан
  • 633 просмотра
Решения вопроса 1
Rsa97
@Rsa97
Для правильного вопроса надо знать половину ответа
Узнать ключ можно только взломав сервер. В этом случае знание кем-то ключа будет наименьшей из проблем.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 2
mmmaaak
@mmmaaak
Сгенери нормальный ключ, адекватной длинны и сложности, насколько я понимаю, это всего лишь соль, используемая для хеширования при генерации токена, зная ее это не значит, что ты знаешь все логины и пароли, это лишь значит, что не зная этой соли не сможешь искусственно сгенерить валидный токен
Ответ написан
Комментировать
inoise
@inoise
Solution Architect, AWS Certified, Serverless
Во-первых, есть 2 основных способа генерации сигнатур: HS(симметричные) и RS(ассиметричные) токены. Конечно стоит использовать ассиметричные для пущей надежности.

Во-вторых, JWT это не про безопасность. Вся информация в токене - публичная и только клиент решает как к ней относиться. Всегда можно спросить сервер на предмет валидности данного токена.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы