要签署JSON Web令牌,我应该重新使用https域证书密钥还是创建新密钥对

时间:2016-05-15 09:56:54

标签: rest authentication ssl jwt

我正在实施一个REST服务,它根据thisthis答案中的建议使用jwt进行RESTful身份验证。

在构建JWT时,我决定使用rsa公共私有对而不是hmac签名,因为能够保持我的签名密钥完全私密的明显好处,因为我不相信我需要分享的客户端验证密钥用。

我的问题是,由于普通的https服务器证书已经使用了rsa密钥,使用相同的密钥对签署JWT令牌是否可以接受?我可以看到的一个优点是,我不需要维护两个证书,并且已经很好地建立了与客户端共享公钥的机制。

PS 如果我使用新的特定密钥对对JWT进行签名,那么将公钥发送给客户端以用于验证令牌的最佳方式是什么?

0 个答案:

没有答案