如何确保JWT请求输入参数的机密性?
这可能有点超出了JWT概念的范围,但如何确保输入参数的机密性以生成令牌 我有三个参数。客户端IP地址、用户名和密码。IP地址可能被欺骗。用户名和密码可能被盗。由于所有这些原因,我怀疑输入参数的安全性如何确保JWT请求输入参数的机密性?,jwt,Jwt,这可能有点超出了JWT概念的范围,但如何确保输入参数的机密性以生成令牌 我有三个参数。客户端IP地址、用户名和密码。IP地址可能被欺骗。用户名和密码可能被盗。由于所有这些原因,我怀疑输入参数的安全性 为了确保更高级别的安全性,我可能会考虑不对称加密。因此,您认为只接受带有私钥的加密用户名和密码是一种好方法吗?您可能想了解一下,如果您认为IP或凭据可能被盗,则对私钥应用相同的规则,即使使用硬件令牌也是如此。风险显然不同。我的意思是你的问题很难回答,因为你没有描述用户上下文、安全要求和可用性约束。例
为了确保更高级别的安全性,我可能会考虑不对称加密。因此,您认为只接受带有私钥的加密用户名和密码是一种好方法吗?您可能想了解一下,如果您认为IP或凭据可能被盗,则对私钥应用相同的规则,即使使用硬件令牌也是如此。风险显然不同。我的意思是你的问题很难回答,因为你没有描述用户上下文、安全要求和可用性约束。例如,我可以建议使用带有私钥的USB硬件令牌,但它不能用于在web环境中对JWT进行签名,因为javascript无法访问令牌。但令牌可用于启动具有双向身份验证的TLS会话。你可能想说得更具体些