我想知道这种方法是否安全:
我有服务器A和B
用户正在通过服务器A登录,该服务器使用用户的凭据并使用secret_key生成有效的JWT令牌,然后使用URL中的jwt将用户重定向到服务器B?还是通过邮寄?
然后,服务器B由于使用了相同的secret_key而验证了该令牌
两个服务器都是“我的”服务器,并且正在使用HTTPS。
那样安全吗?
答案 0 :(得分:1)
您建议的方法通常是安全的。要考虑的一些事情:
您可以使用公钥/私钥对,以便服务器B无法创建令牌,而只能对其进行验证。
重定向时,最好使用POST方法,这样您的用户就不会意外地将URL复制粘贴到其中带有有效令牌的地方。