我目前正在使用JWT令牌作为OAuth2的一部分来保护我的Rest API。设置完成,并且能够使用基于登录用户生成的访问令牌访问API。但是,当我的项目部署在不同的环境中时,我可以使用单个JWT令牌(访问令牌)访问所有环境的Rest API,不建议这样做。
所以我的用例是我想限制Dev环境的访问令牌只能在Dev中使用,而不能在QA或PROD中使用。如何解决?
试图在生成时将环境添加到令牌本身,但是OAuth似乎没有提供任何称为环境的属性。请帮忙。
答案 0 :(得分:3)
根据您提供的信息,您似乎在Dev,QA和PROD环境中使用相同的Key对JWT令牌进行签名。尝试使用不同的密钥进行签名,并使用不同的密钥启用加密以避免这种情况。