智威湯遜常見做法

關於 JWT 開發人員使用的某些實踐，我有幾個問題。我對加密和 JWT 都比較陌生，給出的上下文是用於在 nodejs 上開發系統。

1. 驗證應該如何工作？我是否應該每次查看 JWT 的簽名部分並使用私鑰進行驗證？或者我應該將令牌儲存在 No-SQL 數據庫中並查看它是否包含它以進行驗證（也檢查到期日期）？
2. 每個密鑰應該有多少位？2048是不是太多了？什麼是“好媒體”？
3. 帶有 HMAC SHA256 簽名方法的 RSA 可以嗎？創建密鑰的最佳方法是什麼？是否應該多次生成密鑰（即每次伺服器啟動）？還是讓它靜好？

1. 驗證應該如何工作？- JWT 文件是您的朋友。
2. 我是否應該每次查看 JWT 的簽名部分並使用私鑰進行驗證？- https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
3. 我應該將令牌儲存在 No-SQL 中嗎？- 不，如果您能夠解碼意味著令牌有效的令牌，則不需要。
4. 秘鑰是？這取決於密鑰越大，您的 API 越慢，因此需要權衡取捨（請記住，您需要在每個請求上解碼令牌）
5. RSA 是否帶有 HMAC SHA256 …？大多數人使用HS256，

我建議您查看此網址

希望能幫助到你，

引用自：https://crypto.stackexchange.com/questions/40872