使用盐创建和验证 at_hash

【问题标题】:Creating and validating at_hash with salt使用盐创建和验证 at_hash
【发布时间】:2016-01-24 14:35:48
【问题描述】:

当我创建访问令牌的at_hash 时,是否应该对哈希进行加盐处理?如果是,如果客户不知道所使用的盐,如何验证?不幸的是,specs 对此并没有多说。

【问题讨论】:

  • 您还需要储存盐。但是“客户端”,您是在构建客户端/服务器应用程序吗?如果是这样,那么客户端永远不应该验证这一点,它应该是执行此操作的服务器。

标签: jwt openid-connect


【解决方案1】:

不,哈希不应加盐。请记住,at_hashaccess_token 绑定到id_token 并保护它,因为id_token 已签名。 access_token 的值与需要加盐的密码完全不同,因为它的字符更少且随机性更小。

【讨论】:

    猜你喜欢
    • 1970-01-01
    • 2021-04-03
    • 2016-12-26
    • 1970-01-01
    • 2011-05-07
    • 1970-01-01
    • 2011-05-08
    • 2015-07-03
    • 2019-06-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode