身份验证:API Server (loopback+JWT) vs Node Server (Nodejs+JWT)

【问题标题】:Authentication: API Server (loopback+JWT) vs Node Server (Nodejs+JWT)身份验证:API Server (loopback+JWT) vs Node Server (Nodejs+JWT)
【发布时间】:2017-08-16 22:55:38
【问题描述】:

我的堆栈:MongoDB -> API with loopback -> Nodejs -> 和前端的 Reactjs(每个部分在不同的服务器上)

如果我在节点服务器中有逻辑,而我在另一个节点服务器中有 API。而且我必须对我的用户进行身份验证:

我必须为每个服务器制作令牌,或者这可以在两者之间共享?

我知道 JWT 在服务器中制作了一个令牌,只有这个服务器可以解密它。

【问题讨论】:

  • 欢迎来到 Stack Overflow!显示一些代码,看看你到目前为止尝试了什么。

标签: mongodb rest api jwt loopbackjs


【解决方案1】:

您可以在使用相同的签名密钥时使用相同的令牌。

如果您使用对称密钥 (HMAC),则密钥必须在两个服务器之间共享,因为密钥用于签名和验证令牌

如果您使用非对称密钥 (RSA),则使用私钥对令牌进行签名并通过公共密钥进行验证。然后,您可以在一台服务器上发布令牌并将公钥分发给另一台服务器,甚至是客户端。然后减少了共享密钥的安全问题。这种情况下的缺点可能是令牌是在一台服务器上发布的。如果你需要同时发布,那么对称密钥可能更合适

【讨论】:

    猜你喜欢
    • 2019-08-31
    • 2018-12-06
    • 2017-07-30
    • 2016-03-24
    • 2019-02-14
    • 2023-04-06
    • 2016-04-24
    • 2022-01-13
    • 2023-03-20
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode