Wir implementieren JWT, damit sich unsere Client-Seite über unseren separaten Authentifizierungsserver authentifizieren kann.Sollte ich verschlüsselte Daten in einem JWT-Token übergeben?
Der Client sendet den Benutzernamen und das Kennwort an den Authentifizierungsserver, empfängt ein JWT und meldet sich dann mit dem JWT bei der Hauptwebsite an.
Offensichtlich enthält das Token den Benutzernamen und einige andere nicht geheime Informationen.
Die Frage ist, ob JWT verwendet werden soll, um geheime Informationen und wie zu übergeben. Hier sind ein paar Optionen, die in Betracht gezogen werden könnten:
- Tun Sie es nicht. Lassen Sie den Haupt-Website-Server eine Back-End-API mit dem authentifizierten Benutzernamen aufrufen, um die benötigten Informationen zu erhalten.
- Übergeben Sie die Informationen wie Private Ansprüche Verschlüsselung der Werte mit einer symmetrischen Verschlüsselung und den Schlüssel/Kennsatz zwischen der Hauptwebsite und dem Authentifizierungsserver teilen.
- Verschlüsseln Sie das gesamte Token.
Gibt es hier Best Practices? Was sind die Höhen und Tiefen dieser Optionen?