0
我正在阅读关于智威汤士的最近,我有一个时刻;我有一个想法,在我的脑海里似乎很棒,但我认为在结束时它并不是那么棒。智威汤逊全球+私密
我看到人们正在用单一密钥加密令牌以达到全球目的。如果我为每个用户生成全新的密钥,那么以后再加入两个字符串并使用输出来加密令牌会怎样?这将处理需要为不应再访问的用户创建黑名单等等。我错过了什么?因为我确信有人对我有类似的想法,并且由于某种原因它没有被广泛使用。我失去了什么?
A
回答
2
JWT使用发行者的私钥(通常是服务器)进行签名(未加密)。数字签名标识签名者并保护内容免遭更改。
如果您修改有效JWT的有效负载,签名或创建假令牌,服务器只会拒绝它。这就是为什么服务器不需要发布令牌的原因,因为如果令牌可信,它可以以加密方式进行验证
您可以为每个用户创建一个不同的密钥,但不是必需的,因为您要证明令牌已经由服务器发出信任包含在有效载荷中的数据,只需要一个密钥
相关问题
- 1. 智威汤逊和Spring Security
- 2. 在PHP中解密一个A256GCM加密的智威汤逊
- 3. Asp.Net核心,智威汤逊和OpenIdConnectServer
- 4. 智威汤逊和SAML的区别?
- 5. 智威汤逊验证客户端?
- 6. 智威汤逊 - 如何计算签名
- 7. 智威汤逊(OAuth的?)流量
- 8. 智威汤逊签署与PHP
- 9. Android SafetyNet智威汤逊签名验证
- 10. Rails的设计,智威汤逊,如何
- 11. 解码的OpenID id_token - 智威汤逊
- 12. 智威汤逊与多模式
- 13. 使用智威汤逊在Owin
- 14. Mashape Kong +智威汤逊无效令牌
- 15. Laravel护照VS智威汤逊
- 16. 智威汤逊 - 每用户签名密钥
- 17. 智威汤逊解密,但引发mac检查失败错误
- 18. 认证与智威汤逊流明没有密码
- 19. 智威汤逊和类似的方法有多安全?
- 20. 安全webapi与基于声明的有效智威汤逊
- 21. 护照与智威汤逊与Google/Facebook战略 - 我如何将智威汤逊与Google/Facebook战略相结合?
- 22. 智威汤士币错误
- 23. 如果您可以解码智威汤逊,他们如何安全?
- 24. 在智威汤逊有效负载中存储敏感数据安全吗?
- 25. 智威汤逊关键是无效的HmacSHA256
- 26. 智威汤逊是否可以专属于客户?
- 27. OAuth和智威汤逊之间的关系
- 28. 动态添加到whiteListedDomians角智威汤逊
- 29. 智威汤逊发卡行的核实价值是多少?
- 30. 保护与keycloak春季启动服务 - 智威汤逊代币
当然!对不起,你完全正确。这不是加密,而是签名。我不想处理已发布令牌的列表,但应该强制注销的用户列表 - 我更改用户的盐,并且此后他的令牌将无效。你认为我的概念有什么优势,还是没有深思熟虑? –
在您建议或散列一组关键用户属性时更改用户的密钥是黑名单令牌强制JWT失效的正确替代方案。有些人不喜欢这种技术,因为打破JWT无状态并且需要在每个请求中访问数据库。他们更愿意让令牌过期并建立一个短暂的刷新时间。在每种情况下为您的项目选择最合适的选项 – pedrofb
我明白您的观点。但为了验证令牌,您仍然需要查询您的黑名单数据库,因此我认为我的替代方案不是一种犯罪行为:D非常感谢您,我会考虑这一点,但很高兴知道这是可以接受的。 –