在运行时使用随机生成的字符串作为JWT的密钥
在运行时使用随机生成的字符串作为JWT的密钥
提问于 2018-06-19 03:17:52
在运行时使用随机生成的密钥是JWT身份验证的一个良好实践吗?我知道,一旦服务器重新启动,所有令牌都将被撤销。
例如,而不是使用预先生成的密钥,会用Guid.NewGuid().ToString()(不确定这是否足够安全,但编辑:它不是)。
还有其他选择吗?
回答 1
Stack Overflow用户
发布于 2018-06-19 12:22:52
这是不安全的或推荐的。它也不扩展。这是因为从服务的同一个实例中发出和验证令牌。如果将两个实例分开或有更多的api实例,这将失败。秘密密钥必须与颁发者和验证器匹配。如果场中的每个实例都是不可能的。是“随机”生成秘密密钥。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/-100005412
复制相关文章
相似问题