sekret podpisu w JWT

Odpowiedz Nowy wątek
2019-08-04 20:10
0

Nie nie jestem pewien, w przypadku apki która sprawdza już wygenerowany token to ona dysponuje tylko jednym keyem, czy dla każdego użytkownika jest inny key? Mogę go przechowywać tak w plain tekscie ale zaszyty w apce? nie chodzi mi o hasła użytkownika które w bazie danych są wynikiem funkcji skrótu

Jwts.parser().setSigningKey("YLldQvM5IU".getBytes())

edytowany 1x, ostatnio: masterkwi, 2019-08-04 20:10

Pozostało 580 znaków

2019-08-04 20:51
0

Nic nie zrozumiałem. jwtoken to token który stosuje ten sam klucz do szyfrowania i odszyfrowywania. Wygenerowany token to nic innego jak zaszyfrowana informacja o id usera + dacie wygaśnięcia tokenu. Nie wiem po co chcesz to zapisywać gdzieć. Tak na prawdę to ten token powinien mieć w miarę krótki czas życia i być odnawiany.

edytowany 1x, ostatnio: mr_jaro, 2019-08-04 20:52
Pokaż pozostałe 4 komentarze
Ty nie ale @mr_jaro myśli ze cokolwiek w tokenie jest szyfrowane, a nie jest ;] @masterkwi a u ciebie to zależy jakiego algorytmu do podpisu używasz. W przypadku RSA sekret, czyli klucz serwera, jest jeden. - Shalom 2019-08-04 21:41
@Shalom: no tak, ale on napisał, że często używa się tego z algo, które działa w obie strony z secretem. - WeiXiao 2019-08-04 21:41
Ale to bez znaczenia, HMAC to też tylko podpis. Nie ma tam nigdzie żadnego szyfrowania. - Shalom 2019-08-04 22:07
no nie ma, ale chodzi o to, że jeżeli na serwerze A wystawisz token, to serwer B mając key może go zwalidować. - WeiXiao 2019-08-04 22:09
Ok, dzięki za pomoc @Shalom - masterkwi 2019-08-05 00:14

Pozostało 580 znaków

Odpowiedz
Liczba odpowiedzi na stronę

1 użytkowników online, w tym zalogowanych: 0, gości: 1, botów: 0