ユーザーパスワードをキーとしたJWT

Question

私のアプリケーションでJWTを使いたいです。 今私は自分のトークンに署名するための秘密の秘密と組み合わせてユーザーのパスワードを使用するのが安全かどうか疑問に思っています。このようにして、ユーザーがパスワードを変更した場合、トークンは無効になります。 それは私の秘密の秘密を脆弱にするかもしれませんか？ あなたの考えをありがとう！

Answer 1

普通のことは、すべてのトークンに同じ鍵で署名することです。管理を簡素化し、各要求におけるデータベースのクエリーを回避します。

キー+ユーザーパスワードで署名することは可能であり、トークンを取り消すことができるという利点があります（コメント付きの欠点があります）。

署名鍵がユーザーのパスワードから派生した十分な安全性を持ち、選択された署名アルゴリズムの長さが推奨されていることを確認します。ユーザーのパスワードを直接保管または使用しないでください。

Answer 2

シークレットは、クライアントとサーバー間で交換される事前共有された文字列です。 だからあなたの場合：

  SecretString= PresharedSecret + ClientPassword 

ので、毎回クライアントは、JWTのトークンを渡し、あなたは、データベースからパスワードを取得したり、それをプリロードするいくつかの方法および検証するためのパスワード変更の場合はチェックを持っている必要がありますトークン

これは、次のシナリオにつながる可能性があります

1. 毎回、クライアントが自分のパスワードを忘れてしまった、あなたはそれが誰誰として、一つの方法でセキュリティを高めるであろう
2. 高価になることができ、データベースの呼び出しを行う必要がある場合がありますパスワードを変更すると、以前のSecretStringの知識を持つサーバーと通信できなくなります。 新しい事前共有秘密を決定し、新しい登録パスワードで検証する必要があります。

全体的に、セキュリティが強化されます。ただし、インフラストラクチャの目的や用途によって異なります。ユーザーが頻繁にパスワードを忘れるシステムであれば、これは素晴らしい選択肢ではないかもしれません。