Làm sao để bảo mật secret key trong JWT

yayaya · February 14, 2022, 7:19am

Các bác cho em hỏi ngu, phần chuỗi serect key của JWT được hard code trong mã nguồn hay lưu trong database? Chắc không phải trong database đâu nhỉ, vì database dễ bị hack hơn Vậy đoạn chuỗi string serect key do ai tạo ra? Khách hàng hay dev? nếu do dev tạo ra thì sau này dev biết serect key thì làm giả bearer token thì sao? Ngày xưa thợ xây kim tự tháp pharaoh xong thì phải hẹo .

kisuluoibieng · February 14, 2022, 6:46am

database bị hack thì jwt còn nghĩa lý gì nữa?

kiểu gì thì cũng sẽ có người tạo ra, đây lại là vấn đề còn người chứ không phải vấn đề kĩ thuật

nếu chỉ đơn thuần là một cái key để sign token thôi thì gen random ngay lúc boot app thay vì load từ env
bạn bớt lo bò trắng răng đi

yayaya · February 14, 2022, 6:46am

Có lý chỉ cần random ngay lúc deploy app là được

utherpally · February 15, 2022, 9:04am

Bạn có thể lưu vào biến môi trường (environment variables), trong code chỉ cần read biến môi trường đó là được.