我正在学习如何在身份验证方面实现安全性,尤其是JWT令牌。我的理解是,一旦服务器签名,JWT令牌就会返回给用户,用户应该保留令牌直到他或她退出。
var token = jwt.sign(user, 'secret');
在Javascript中使用秘密'secret'对用户对象进行签名,user可能如下所示:
user = {
name: 'bob',
password: 'bobpassword'
}
验证时,我们只需调用jwt.verify(token, 'secret')来验证相应的令牌是否为用户。
但是,每次签名/令牌不一样吗?我们的秘密始终是'secret',所以我们应该在每次登录时更改秘密吗?那么我们如何存储这个秘密以便安全呢?或者我们应该每次都向user添加某种类型的随机字符串吗?
我只是在安全方面寻找合适的方法。