NestJS JWT 策略认证。有效载荷对所有用户使用相同的安全密钥进行签名

【问题标题】:NestJS JWT Strategy authentication. Payload is signed with same secure key for all usersNestJS JWT 策略认证。有效载荷对所有用户使用相同的安全密钥进行签名
【发布时间】:2021-06-13 11:57:52
【问题描述】:

作为 NestJS 使用 Passport JWT 进行身份验证的文档,流程如下:

  1. 客户端使用用户名/密码登录
  2. 如果用户名/密码有效,JWT 签署有效载荷(使用预配置的安全密钥)以创建访问令牌并将此访问令牌返回给客户端
  3. 客户端使用访问令牌请求受保护的资源

因此,如果用于签名有效负载的安全密钥被黑客入侵,则无需使用密码即可为所有用户生成访问令牌。

我上面的理解是否正确?什么是更安全的建议? 谢谢。

【问题讨论】:

    标签: node.js jwt nestjs passport-jwt


    【解决方案1】:

    是的,如果密钥被泄露,攻击者可以自己生成密钥。

    尝试采用更安全的凭据存储方式。如果它有某种密钥轮换机制,那就更好了。例如,我在我的项目中为此使用了AWS Secrets Manager

    【讨论】:

      猜你喜欢
      • 2017-05-17
      • 2019-08-16
      • 2021-11-02
      • 2022-08-12
      • 1970-01-01
      • 2018-09-10
      • 2020-07-08
      • 2020-04-20
      • 2021-09-27
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode