每个用户的全局密钥对与唯一密钥对

Question

我正在设计令牌系统，以授权对我的API的请求。最好有一个单一的全局公钥和私钥对来签名RSA SHA256令牌，或者当用户使用凭据登录，创建新密钥对，用私钥签名并将令牌保存到数据库时会更好

全球

• 安全性较低（我认为有人可以窃取私钥然后签名令牌并以任何帐户登录）
• 更便宜
• 缩短响应时间

唯一

• 更安全，永远不会保存私钥，因此很难创建伪造的令牌
• 需要读取数据库（附加费用）
• 响应时间更长
• 另一个故障点