我正在用 Golang 构建一个 web api。我想在这个 API 中实现身份验证,所以我在看 JWT。在dgrijalva/jwt-go的 JWT 实现中,给出了以下示例:token := jwt.NewWithClaims(jwt.SigningMethodHS256, jwt.MapClaims{ "foo": "bar", "nbf": time.Date(2015, 10, 10, 12, 0, 0, 0, time.UTC).Unix(),})tokenString, err := token.SignedString(hmacSampleSecret)hmacSampleSecret用于签署密钥。出于安全原因,这应该是.envhmacSampleSecret文件中的字符串吗?或者这个值是否应该偶尔轮换和过期?如果推荐最后一个,是否已经有我可以使用的实现?
1 回答
湖上湖
TA贡献2003条经验 获得超2个赞
如果您想使用 SHA256 算法进行 jwt 签名,那么您应该在 .env 文件中生成并存储长随机密钥。
秘密应该是静态的,不要太担心安全性,任何人几乎不可能暴力破解并找到你的秘密。
你不需要改变你的秘密:)
- 1 回答
- 0 关注
- 119 浏览
添加回答
举报
0/150
提交
取消