繁体 English 中英

我应该在JWT令牌中传递加密的数据吗？

[英]Should I pass encrypted data in a JWT token?

原文 2016-05-17 09:35:35 7 2 asp.net/ authentication/ encryption/ jwt

我们正在实现JWT，以允许客户端通过单独的身份验证服务器进行身份验证。

客户端将用户名和密码发布到身份验证服务器，接收JWT，然后使用JWT登录到主站点。

显然，令牌包括用户名和其他一些非秘密信息。

问题是是否使用JWT传递秘密信息以及如何传递。 以下是一些可以考虑的选项：

不要这样 让主网站服务器使用经过身份验证的用户名调用后端API，以获取所需的信息。
作为私有声明传递信息，并使用对称加密对值进行加密，并在主网站和身份验证服务器之间共享密钥/密码。
加密整个令牌。

这里有最佳做法吗？ 这些选择的起伏是什么？

2 个解决方案

您不应该使用JWT传递机密信息。 这些令牌通常经过签名以防止受到操纵（未加密），因此可以轻松解码和读取权利要求中的数据。 如果您需要传递敏感信息，请查看JSON Web加密（JWE）

您应该为此检查JSON Web加密

为什么发布数据未加密时，ViewState为什么要加密？

[英]Why should ViewState be encrypted when post data is not?

我应将IV存放在哪里以存储加密记录？

[英]Where should I store the IVs for encrypted records?

我应该如何在类和应用程序层之间传递数据？

[英]How should I pass data between classes and application layers?

刷新令牌刷新jwt后如何刷新数据

[英]How to refresh data after refresh token refreshes jwt

如何在ASP.NET Core中添加数据到JWT Token？

[英]How to add data into JWT Token in ASP.NET Core?

如何获取为其颁发 jwt 令牌的用户信息？

[英]How do I get the user info for whom the jwt token was issued?

JWT令牌验证

[英]JWT Token validation

未验证 JWT 令牌

[英]JWT token not being validated

JWT 令牌访问 AuthenticatedUser

[英]JWT Token Accessing AuthenticatedUser

令牌处理程序无法将令牌转换为 jwt 令牌

[英]Token handler unable to convert the token to jwt token

暂无

暂无

声明:本站的技术帖子网页，遵循CC BY-SA 4.0协议，如果您需要转载，请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 为什么发布数据未加密时，ViewState为什么要加密？我应将IV存放在哪里以存储加密记录？我应该如何在类和应用程序层之间传递数据？刷新令牌刷新jwt后如何刷新数据如何在ASP.NET Core中添加数据到JWT Token？如何获取为其颁发 jwt 令牌的用户信息？ JWT令牌验证未验证 JWT 令牌 JWT 令牌访问 AuthenticatedUser 令牌处理程序无法将令牌转换为 jwt 令牌

相关标签

粤ICP备18138465号 © 2020-2024 STACKOOM.COM