Dopo aver letto questo: link , su come memorizzare" chiave segreta "per assegnare i token JWT. Ho avuto domande di sicurezza. I miei dati (messaggi, nome utente, ecc.) Verranno crittografati (nel database) e solo gli utenti autorizzati potranno decrittografarli (in base alla loro chiave privata). Poiché i token JWT sono generati utilizzando 1 "chiave segreta" che è memorizzata sul server, nel caso in cui un utente malintenzionato ottenga la "chiave segreta" e ottenga il blocco del database - i token possono essere falsificati e quindi i dati possono essere decifrati bypassando "password", che rende la crittografia inutile. Con questo in mente ecco le mie idee
Metodo 1. Salva la "chiave segreta" su un server separato (come HSM) che verrà ricevuto durante l'accesso e quindi utilizzato per impostare il token
Metodo 2. Cripta un po 'di sale per ogni utente e usalo come "chiave segreta"
Il mio sistema di accesso / autorizzazione consente di accedere praticamente a tutti i dati, inclusi i messaggi crittografati, ecc ... Quindi ho bisogno che sia sicuro.
Mi piacerebbe sentire i tuoi pensieri e le tue idee. Come fa Facebook o Twitter? Ho davvero bisogno di HSM per archiviare le chiavi private per la crittografia o c'è un qualche tipo di alternativa (ad es. Un file system sicuro)?
Grazie :)