Netlify身份是允许用户注册到您的站点的简便方法,但是是否可以验证另一个站点(例如,作为站点后端的API服务器)上JWT令牌的签名?换句话说,是否可以获取公共密钥或设置秘密以验证令牌签名?
答案 0 :(得分:2)
Netlify Identity使用HS256,因此与具有公钥/私钥的RS256相比,存在一个共享的秘密。尚未通过我们的API提供签名秘密(尽管我们应该添加它!)。但是您可以联系支持以获取帮助。您可以在自己的API中使用它,以在自己的后端中验证我们的JWT。
编辑: 在这种情况下,出于安全原因,我们目前不建议共享签名密码。更好的选择是使用签名的代理重定向向您自己的后端服务器发出安全请求。使用此功能,我们将使用短时令牌(仅有效5分钟)将请求签署到您的后端。它更安全,并且不会共享您的身份签名秘密。您可以在https://www.netlify.com/docs/redirects/#signed-proxy-redirects
上了解有关已签名代理重定向的更多信息。