Мы внедряем JWT, чтобы позволить нашей клиентской стороне проходить аутентификацию через наш отдельный сервер аутентификации.Должен ли я передавать зашифрованные данные в токен JWT?
Клиент отправляет имя пользователя и пароль на сервер аутентификации, получает JWT и затем регистрируется на главном сайте с помощью JWT.
Очевидно, что токены включают имя пользователя и другую несекретную информацию.
Вопрос в том, следует ли использовать JWT для передачи секретной информации и как. Вот несколько вариантов, которые могут быть рассмотрены:
- Не делайте этого. Попросите главный сервер веб-сайта использовать API-интерфейс с аутентифицированным именем пользователя, чтобы получить необходимую ему информацию.
- Передайте информацию как Частные претензии , зашифровав значения с симметричным шифрованием и разделив ключ/профайлу между основным веб-сайтом и сервером аутентификации.
- Шифровать весь токен.
Есть ли здесь лучшие методы? каковы взлеты и падения этих вариантов?