标签: rsa jwt digital-signature
我们可以为所有用户使用相同的RsaJsonWebKey构建jwt吗?
如果采用这种方法,我们可能遇到哪些问题?
在我看来,由于每个客户的索赔不同,每个用户的最终jwt应该是不同的,并且应该不是问题。
答案 0 :(得分:2)
通常的解决方案是对所有发布的JWT使用相同的密钥。每个用户可以拥有一个密钥,但这是不切实际的:
这种解决方案错过了JWT的一些优点。我找不到一个有用的场景
注意:如果我们谈论客户发出令牌的API中的身份验证,那么每个客户端都将拥有自己的私钥