Должен ли я передавать зашифрованные данные в токен JWT?

Question

Мы внедряем JWT, чтобы позволить нашей клиентской стороне проходить аутентификацию через наш отдельный сервер аутентификации.

Клиент отправляет имя пользователя и пароль на сервер аутентификации, получает JWT и затем регистрируется на главном сайте с помощью JWT.

Очевидно, что токены включают имя пользователя и другую несекретную информацию.

Вопрос в том, следует ли использовать JWT для передачи секретной информации и как. Вот несколько вариантов, которые могут быть рассмотрены:

1. Не делайте этого. Попросите главный сервер веб-сайта использовать API-интерфейс с аутентифицированным именем пользователя, чтобы получить необходимую ему информацию.
2. Передайте информацию как Частные претензии , зашифровав значения с симметричным шифрованием и разделив ключ/профайлу между основным веб-сайтом и сервером аутентификации.
3. Шифровать весь токен.

Есть ли здесь лучшие методы? каковы взлеты и падения этих вариантов?

Answer 1

Вы не должны использовать JWT для передачи секретной информации. Эти жетоны обычно подписываются для защиты от манипуляций (не зашифрованы), поэтому данные в формуле могут быть легко декодированы и прочитаны. Если вам нужно передать секретную информацию, пожалуйста, смотрите на JSON Web Encryption(JWE)

Answer 2

Вы должны проверить JSON Web Encryption для этой цели