在运行时使用随机生成的密钥是JWT身份验证的一个良好实践吗?我知道,一旦服务器重新启动,所有令牌都将被撤销。
例如,而不是使用预先生成的密钥,会用Guid.NewGuid().ToString()
(不确定这是否足够安全,但编辑:它不是)。
还有其他选择吗?
发布于 2018-06-19 12:22:52
这是不安全的或推荐的。它也不扩展。这是因为从服务的同一个实例中发出和验证令牌。如果将两个实例分开或有更多的api实例,这将失败。秘密密钥必须与颁发者和验证器匹配。如果场中的每个实例都是不可能的。是“随机”生成秘密密钥。
https://stackoverflow.com/questions/-100005412
复制相似问题