0

我将nodejs用于rest api,客户端应用程序在ios和android中。

通常,服务器会生成或签署 JWT 并发送到设备。设备将其保存在本地并用于后续请求。

但我计划在我的应用程序中实现自定义 JWT 场景。

计划是在设备本身中为每个请求创建一个令牌,并在服务器中对其进行验证。

所以当黑客窃取到密钥时,他甚至不能使用它一次,因为 JWT 是无效的。

令牌发布客户端也不能再次请求相同的令牌。

这会起作用还是我应该遵循 JWT 实施的一般标准。任何专家的想法?

如果是,我有几个问题

1)从客户端设备检索密钥(或其背后的逻辑)并危及安全性是否可行

2)服务器是否会出现性能下降

4

1 回答 1

0

从客户端设备中检索密钥不是一个好的做法,这将成为未来的安全威胁。

如果您想在您的情况下创建自定义 JWT,您可以开发一个休息服务并将其命名为身份验证服务,该服务将用于身份验证。您可以使用必要的数据调用身份验证服务,并在后端验证传递的详细信息。

此后,您可以相应地创建您自己的具有过期时间的 JWT,并作为响应传递,该响应可用于其他休息调用,直到它过期。

于 2018-07-05T07:42:51.103 回答