0
悪い従業員が盗んだ場合、ユーザーを偽装する可能性があります。
ハードコードされていない場合は、どこに置くか?
私はJWT認証を実装しようと考えています。HMACの秘密鍵はハードコードされていないはずですか?
A
答えて
0
HMAC秘密鍵はプレーンテキストです。任意の非公開/秘密のテキストとして、(ハードコードの)テキストを単純/単純文字列として保存しないようにする必要があります。これは、逆アセンブルを使用して明らかにできるためです。
はい、秘密鍵をどうにかして難読化し、少なくとも単純なテキスト変換を行うのは良いことです。一般に、どのような種類の変換も選択できます。
変換のためにエンコード/デコードを使用する方法の1つです。秘密鍵は、エンコードされた文字列としてソースに格納され、実行時に必要なときにデコードされます。 「i」は任意のランダムな値である、
static String stringTransform(String s, int i) {
char[] chars = s.toCharArray();
for(int j = 0; j<chars.length; j++)
chars[j] = (char)(chars[j]^i);
return String.valueOf(chars);
}
この機能は、暗号化と復号化の両方に使用する必要があります。たとえば、あなたは、Googleが提案XOR暗号化を使用することができます。
関連する問題
- 1. 秘密鍵は要求されていますが、秘密鍵はすでに入力されています。
- 2. HMAC sha256ダイジェスト秘密鍵のデータを破るまでの時間
- 3. 保護されていない.p12秘密鍵ファイル
- 4. 鍵ボールト鍵と秘密鍵
- 5. 秘密鍵を秘密鍵で暗号化する
- 6. Beanstalk秘密鍵
- 7. RSA - はBouncyCastle PEMReader秘密鍵
- 8. なぜSSL証明書が秘密鍵で署名されていますか?
- 9. ハードコードなしのクラウド-initでAWSアクセスキー(秘密鍵)を参照する方法
- 10. JSCH - 無効な秘密鍵
- 11. 秘密鍵認証は、Eclipseではopenshift
- 12. JWTトークン - 秘密鍵
- 13. RSA秘密鍵 - iOS
- 14. Twitterの消費者鍵と秘密鍵の違いは何ですか?
- 15. Androidのキーストア:サポートされていない秘密鍵アルゴリズム:AES/CBC/PKCS5Padding
- 16. 公開鍵と秘密鍵は交換可能ですか?
- 17. 秘密鍵は暗号化されているときに異なる結果を与える秘密鍵を復号化しますか?
- 18. すでに与えられた秘密鍵をPHPの秘密鍵リソースとして使用するにはどうすればよいですか?
- 19. 秘密鍵でSHA512ハッシング
- 20. JWT公開鍵対秘密鍵署名検証 - 違いは何ですか?
- 21. SSH秘密鍵をインポートするには?
- 22. Androidの秘密鍵ストレージ
- 23. 秘密鍵の拡張子
- 24. keygenタグの秘密鍵
- 25. OpenSSH秘密鍵の形式
- 26. 秘密鍵の管理
- 27. シンバックアップからJenkinsをリカバリせずにssh秘密鍵を復元しない
- 28. 有効性拡張caに秘密鍵情報が含まれていないのはなぜですか?
- 29. アップルキーホルダー公開鍵/秘密鍵の問題
- 30. 公開鍵と秘密鍵JWTのガバナンス