【发布时间】:2016-09-13 08:00:02
【问题描述】:
我们正在实施 JWT,以允许我们的客户端通过我们单独的身份验证服务器进行身份验证。
客户端将用户名和密码发布到身份验证服务器,接收到 JWT,然后使用 JWT 登录主站点。
显然,令牌包括用户名和其他一些非机密信息。
问题是是否使用 JWT 传递秘密信息以及如何传递。 以下是一些可以考虑的选项:
- 不要这样做。让主网站服务器使用经过身份验证的用户名调用后端 API,以获取所需的信息。
- 以 Private 声明的形式传递信息加密值,使用对称加密并在主网站和身份验证服务器之间共享密钥/密码。
- 加密整个令牌。
这里有什么最佳做法吗?这些选项的优缺点是什么?
【问题讨论】:
标签: asp.net authentication encryption jwt