Security 散列和加密JWT令牌
我在这里读了不同的帖子,现在我对如何实现代币的安全性感到更加困惑。我目前实现了一个身份验证服务(MVC4+WebAPI)和一个依赖方(MVC4应用)。依赖方(RP)将客户端重定向到身份验证服务(AS)。AS创建一个令牌,将其提供给客户端。客户将其交给RP。RP增加更多索赔等。 这是我为保护令牌所要做的: 使用HMAC SHA 256散列标记。如何在AS和RP之间共享密钥?我必须签名并将其添加到有效负载中并加密吗Security 散列和加密JWT令牌,security,encryption,token,jwt,Security,Encryption,Token,Jwt,我在这里读了不同的帖子,现在我对如何实现代币的安全性感到更加困惑。我目前实现了一个身份验证服务(MVC4+WebAPI)和一个依赖方(MVC4应用)。依赖方(RP)将客户端重定向到身份验证服务(AS)。AS创建一个令牌,将其提供给客户端。客户将其交给RP。RP增加更多索赔等。 这是我为保护令牌所要做的: 使用HMAC SHA 256散列标记。如何在AS和RP之间共享密钥?我必须签名并将其添加到有效负载中并加密吗 我想使用AES/Rijndael算法对令牌进行加密。又怎么了 我可以和RP共用钥匙
- 我想使用AES/Rijndael算法对令牌进行加密。又怎么了 我可以和RP共用钥匙吗
- RP将首先解密令牌,并使用算法对其进行解码 使用共享密钥访问有效负载(时间戳, 观众、问题等)
- 我正在滑动代币到期日。有一个字段需要jit 要避免重播攻击,必须是唯一的。。我现在正在填充它 GUID。。我不知道如何在RP中验证/使用它