我有一个多微服务架构,我打算在其中应用安全性。我对安全设计的看法:使用LDAP进行身份验证,并在用户通过身份验证时使用JSON …
JWT始终是签名的,因此您可以在不调用某个中央auth实例的情况下验证给定的令牌。 auth服务器知道签署令牌的秘密,并且所有想要验证令牌的服务也需要有一种方法来检查它。
签署有两种不同的方法:
我更喜欢第二种方式,因为它减少了钥匙被盗的可能性。如果其中一个消费服务被劫持,则没有秘密丢失,以便攻击者可以创建有效令牌。与对称方式中使用的简单哈希相比,使用这样的算法可能需要更多的时间/ cpu周期来进行验证。
有关不同机制的示例,请参阅官方JWT页面: https://jwt.io/