api - 如果有人得到我的私钥和公钥,JWT 会发生什么?
问题描述
在我看来,如果我的私钥和公钥被泄露(我用来签名和验证 JWT),那么任何人都可以独立生成 JWT 令牌供自己在我的 API 上使用?
而另一方面,如果我自己生成自己的令牌,并存储“单向哈希用户 ID”=>“令牌”的查找表,那么如果有人闯入我的系统,他们将无法生成要在我的 API 上使用的令牌,他们也无法使用令牌(因为他们不知道哪个令牌属于哪个用户)
如果有人闯入你的系统并且它仍然是安全的,那么你就建立了一个安全的系统;没什么好担心的。
有了智威汤逊,在我看来,如果有人闯入,我确实有些担心。
解决方案
在我看来,如果我的私钥和公钥被泄露(我用来签名和验证 JWT),那么任何人都可以独立生成 JWT 令牌供自己在我的 API 上使用?
对,那是正确的。
公钥旨在公开并且可以分发。
另一方面,私钥应该是私有的,并且必须在您的服务器中保持安全。任何有权访问私钥的人都应该能够发行令牌。
泄露您的私钥是一个巨大的安全漏洞。
推荐阅读
- javascript - if 语句中的返回代码未运行,但如果我将其更改为返回变量,它正在运行。(原版 Javascript)
- php - 为什么我不能在 PHP 中捕捉到这个错误(在布尔值上调用函数)?
- wso2 - WSO2:从传出的 IBM MQ 消息中删除 MQRFH2 标头
- svg - 如何编辑 SVG 文件的文本?
- python - python-尝试使用复制模块创建火花数据帧的副本时出现递归错误
- python - Python 获取带有发布者名称的进程列表
- ios - 如何从给定图像访问 JsonData
- r - 在 *apply 中使用 `[`
- python - 以每秒 n 个请求的速率执行命令
- html - Blogger Soho 主题主页列之间的宽度