Esiste un caso per autorizzare con un certificato lato client e JWT per un dispositivo IoT?
Le JWT sono abbastanza buone (supponendo che seguano le specifiche)?
E se i cerali lato client sono veramente necessari, quali sono le date di scadenza? (imposta la scadenza del cert del cliente in uscita in futuro, ecc.)
L'unica ragione per cui hai bisogno del JWT aggiuntivo è se ci saranno diverse attestazioni e identità utilizzate con i dispositivi che richiedono privilegi separati.
Ora che questo è IoT hai un modo per revocare e aggiornare i certificati? Sei in grado di gestire tutte le operazioni di certificazione richieste?
Lascia che ti spieghi con un esempio: supponi di utilizzare device provisioning service da Azure, richiede 509 certificati. Ma per ottenere un certificato firmato, è necessario che la chiave / coppia sia generata sul dispositivo. quindi KEY gioca un ruolo importante e perdere è un rischio. Quindi abbiamo bisogno di progettare in modo tale che la chiave sia posseduta in base alla richiesta / domanda. quindi, per richiedere o richiedere, possiamo iniziare la fiducia usando JWT :), quindi questo aiuta a proteggere il design
Leggi altre domande sui tag jwt iot tls certificates