Rsa
智威湯遜常見做法
關於 JWT 開發人員使用的某些實踐,我有幾個問題。我對加密和 JWT 都比較陌生,給出的上下文是用於在 nodejs 上開發系統。
- 驗證應該如何工作?我是否應該每次查看 JWT 的簽名部分並使用私鑰進行驗證?或者我應該將令牌儲存在 No-SQL 數據庫中並查看它是否包含它以進行驗證(也檢查到期日期)?
- 每個密鑰應該有多少位?2048是不是太多了?什麼是“好媒體”?
- 帶有 HMAC SHA256 簽名方法的 RSA 可以嗎?創建密鑰的最佳方法是什麼?是否應該多次生成密鑰(即每次伺服器啟動)?還是讓它靜好?
- 驗證應該如何工作?- JWT 文件是您的朋友。
- 我是否應該每次查看 JWT 的簽名部分並使用私鑰進行驗證?- https://scotch.io/tutorials/the-anatomy-of-a-json-web-token
- 我應該將令牌儲存在 No-SQL 中嗎?- 不,如果您能夠解碼意味著令牌有效的令牌,則不需要。
- 秘鑰是?這取決於密鑰越大,您的 API 越慢,因此需要權衡取捨(請記住,您需要在每個請求上解碼令牌)
- RSA 是否帶有 HMAC SHA256 …?大多數人使用HS256,
我建議您查看此網址
希望能幫助到你,