各种微服务中 JWT 的共享签名密钥
Shared signature key for JWT in various Microservices
我有各种微服务。我已经使用 JWT 实现了安全性。每个服务都通过在所有服务之间共享的密钥验证 JWT 令牌。
是否可以在所有微服务之间共享 JWT 的相同签名密钥?
我无法在 API 网关上实现此功能,因为我必须使用某些需要 spring 在每个微服务中触发安全性的库。
是的,您需要共享密钥才能让 JWT 正常工作 securely/correctly。
我建议使用 public-私钥签名方法并按值传递 JWT。这意味着您将获得一个只有您的网关需要知道的私人签名密钥和一个 public 验证密钥。
然后您可以将您的验证密钥分发给您的所有微服务。这可以是您通过部署执行的操作,或者您的微服务可以使用某种刷新周期并将您的签名密钥与网关一起发布。前者更有安全感,后者更善于自愈。
这可能有用:JWK。
我有各种微服务。我已经使用 JWT 实现了安全性。每个服务都通过在所有服务之间共享的密钥验证 JWT 令牌。
是否可以在所有微服务之间共享 JWT 的相同签名密钥?
我无法在 API 网关上实现此功能,因为我必须使用某些需要 spring 在每个微服务中触发安全性的库。
是的,您需要共享密钥才能让 JWT 正常工作 securely/correctly。
我建议使用 public-私钥签名方法并按值传递 JWT。这意味着您将获得一个只有您的网关需要知道的私人签名密钥和一个 public 验证密钥。
然后您可以将您的验证密钥分发给您的所有微服务。这可以是您通过部署执行的操作,或者您的微服务可以使用某种刷新周期并将您的签名密钥与网关一起发布。前者更有安全感,后者更善于自愈。
这可能有用:JWK。