0
我正在閱讀關於智威湯士的最近,我有一個時刻;我有一個想法,在我的腦海裏似乎很棒,但我認爲在結束時它並不是那麼棒。智威湯遜全球+私密
我看到人們正在用單一密鑰加密令牌以達到全球目的。如果我爲每個用戶生成全新的密鑰,那麼以後再加入兩個字符串並使用輸出來加密令牌會怎樣?這將處理需要爲不應再訪問的用戶創建黑名單等等。我錯過了什麼?因爲我確信有人對我有類似的想法,並且由於某種原因它沒有被廣泛使用。我失去了什麼?
A
回答
2
JWT使用發行者的私鑰(通常是服務器)進行簽名(未加密)。數字簽名標識簽名者並保護內容免遭更改。
如果您修改有效JWT的有效負載,簽名或創建假令牌,服務器只會拒絕它。這就是爲什麼服務器不需要發佈令牌的原因,因爲如果令牌可信,它可以以加密方式進行驗證
您可以爲每個用戶創建一個不同的密鑰,但不是必需的,因爲您要證明令牌已經由服務器發出信任包含在有效載荷中的數據,只需要一個密鑰
相關問題
- 1. 智威湯遜和Spring Security
- 2. 在PHP中解密一個A256GCM加密的智威湯遜
- 3. Asp.Net核心,智威湯遜和OpenIdConnectServer
- 4. 智威湯遜和SAML的區別?
- 5. 智威湯遜驗證客戶端?
- 6. 智威湯遜 - 如何計算簽名
- 7. 智威湯遜(OAuth的?)流量
- 8. 智威湯遜簽署與PHP
- 9. Android SafetyNet智威湯遜簽名驗證
- 10. Rails的設計,智威湯遜,如何
- 11. 解碼的OpenID id_token - 智威湯遜
- 12. 智威湯遜與多模式
- 13. 使用智威湯遜在Owin
- 14. Mashape Kong +智威湯遜無效令牌
- 15. Laravel護照VS智威湯遜
- 16. 智威湯遜 - 每用戶簽名密鑰
- 17. 智威湯遜解密,但引發mac檢查失敗錯誤
- 18. 認證與智威湯遜流明沒有密碼
- 19. 智威湯遜和類似的方法有多安全?
- 20. 安全webapi與基於聲明的有效智威湯遜
- 21. 護照與智威湯遜與Google/Facebook戰略 - 我如何將智威湯遜與Google/Facebook戰略相結合?
- 22. 智威湯士幣錯誤
- 23. 如果您可以解碼智威湯遜,他們如何安全?
- 24. 在智威湯遜有效負載中存儲敏感數據安全嗎?
- 25. 智威湯遜關鍵是無效的HmacSHA256
- 26. 智威湯遜是否可以專屬於客戶?
- 27. OAuth和智威湯遜之間的關係
- 28. 動態添加到whiteListedDomians角智威湯遜
- 29. 智威湯遜髮卡行的核實價值是多少?
- 30. 保護與keycloak春季啓動服務 - 智威湯遜代幣
當然!對不起,你完全正確。這不是加密,而是簽名。我不想處理已發佈令牌的列表,但應該強制註銷的用戶列表 - 我更改用戶的鹽,並且此後他的令牌將無效。你認爲我的概念有什麼優勢,還是沒有深思熟慮? –
在您建議或散列一組關鍵用戶屬性時更改用戶的密鑰是黑名單令牌強制JWT失效的正確替代方案。有些人不喜歡這種技術,因爲打破JWT無狀態並且需要在每個請求中訪問數據庫。他們更願意讓令牌過期並建立一個短暫的刷新時間。在每種情況下爲您的項目選擇最合適的選項 – pedrofb
我明白您的觀點。但爲了驗證令牌,您仍然需要查詢您的黑名單數據庫,因此我認爲我的替代方案不是一種犯罪行爲:D非常感謝您,我會考慮這一點,但很高興知道這是可以接受的。 –