使用jwt和2个服务器作为secret_key股东进行跨域身份验证

问题描述 投票:0回答:1

我想知道这种方法是否安全:

我有服务器A和B.

用户通过服务器A登录,服务器A使用用户的凭据并使用secret_key生成有效的JWT令牌,然后将用户重定向到服务器B,其中jwt为url?还是通过邮寄?

然后服务器B验证该令牌,因为它使用相同的secret_key

两台服务器都是“我的”,正在使用HTTPS。

这样安全吗?

security authentication jwt cross-domain
1个回答
1
投票

您提出的方法通常是安全的。有些事情需要考虑:

  • 您可以使用公钥/私钥对,以便服务器B无法创建令牌,只验证它们。
  • 重定向时,更喜欢POST方法,以便您的用户不会意外地将URL复制粘贴到其中的有效令牌。
最新问题
© www.soinside.com 2019 - 2024. All rights reserved.