• 25-08-2020, 13:01:16
    #1
    merhaba, bir sorum var arkadaşlar.
    jwt standardına göre token oluşturken signature kısmındaki secret key her kullanıcıya ayrı mı verilir yoksa aynı secret key kullanmak mı mantıklı?

    tek bir secret key vermek sorguyu azaltıyor ama güvenlik açığı oluşturur mu?

    fikir bildiren, yardımcı olanlara şimdiden teşekkrler.
  • 25-08-2020, 13:16:16
    #2
    tek bir secret key kullanılıyormuş, yabancı bir forumdan cevap gelmiş paylaşmış olayım
  • 25-08-2020, 13:17:32
    #3
    maskidea adlı üyeden alıntı: mesajı görüntüle
    merhaba, bir sorum var arkadaşlar.
    jwt standardına göre token oluşturken signature kısmındaki secret key her kullanıcıya ayrı mı verilir yoksa aynı secret key kullanmak mı mantıklı?

    tek bir secret key vermek sorguyu azaltıyor ama güvenlik açığı oluşturur mu?

    fikir bildiren, yardımcı olanlara şimdiden teşekkrler.

    Merhaba hocam, ben şuanki projelerimde bir adet key kullanıyorum. Bu sizin içinde mantıklı olacaktır. Sessionları kullanıp daha sonra tokenlara geçerken insanın kafasında baya bir soru işareti oluyor.
    Özellikle kabullenme ile alakalı.
    Güvenlik nasıl olur, yada böyle iş mi olurmuş session olmadan oturummu olur gibi baya bir soru işaretleri oluyor. En azından bende öyle oluyordu.

    Fakat gerçek şuki Dünya artık tokenlar üzerinden dönüyor. Tüm büyük firmalar token kullanıyor. Hata bazıları oluşan tokenları güncellemiyor bile.
  • 25-08-2020, 13:24:03
    #4
    Tek bir secret key kullanabilirsiniz herhangi bir güvenlik açığı oluşturmaz gizli anahtarınız çalınmadığı sürece.

    Dikkat etmeniz gereken tek şey payload verisinde özel bilgi saklamamak olmalı aslında, verinin herkes tarafından kolayca okunabildigini unutmayın