我正在我的应用程序中实现OAuth授权服务器端点。我将发布JWT作为访问令牌。
我需要存储用于将JWT加密为系统操作员的秘密的密钥,因此不适合将其作为文件存储在服务器中,或者将其添加为应用程序的配置参数。
我目前的计划是在应用程序中保留一个秘密密码,并在应用程序配置中存储另一个秘密。用于加密JWT的最终密钥将通过使用应用程序中的硬编码密钥对配置中的密钥进行加密而得出。这样,系统管理员仅拥有一部分密钥,而程序员也仅拥有一部分密钥,因此他们都不知道用于加密JWT的最终密钥。
这种方法是否有局限性?或者,有没有一种标准的方法可以做到这一点?