我已经实现了一个无状态服务器,该服务器使用JWT来让用户访问API。我在这里关心的是安全性。之前有同样的问题,但回答得不好: JWT, Stateless Authentication, and Security
问题:使用诸如JWE(对令牌进行加密)之类的因素或使用强秘密对令牌进行签名......可以使该过程更安全,但是如果我们实施的所有安全性仅取决于密钥
如果密钥被盗怎么办? 那么无论我们使用了多少个安全层,黑客都可以使用密钥创建有效令牌并访问所有API。有什么解决方案可以使其更安全?
答案 0 :(得分:1)
如果用于生成令牌的密钥泄露,请对其进行更改。这将使所有先前创建的JWT令牌无效。