标签: php http security single-sign-on jwt
我想知道如何在SSO和客户端之间共享JWT的密钥?创建令牌时是否应随机生成密钥?
答案 0 :(得分:3)
如果您希望客户端验证JWT,您可以使用不对称密钥对(RSA)来发布JWT而不是对称密钥(HMAC),然后使用私钥对令牌进行签名并向公众验证。
私钥安全地存储在您的服务器中,您将公钥提供给客户端。将公钥发送到客户端或发布它没有安全风险。 避免与客户共享对称密钥(用于签名和验证相同的密钥),因为这样他就可以创建代币
密钥应该随机生成,并且对于所有已发布的JWT