Я использую конечную точку сервера авторизации OAuth в своем приложении. Я собираюсь выпустить JWT как токены доступа.
Мне нужно сохранить секретный ключ, используемый для шифрования JWT, в качестве секрета от операторов системы, поэтому его хранение в виде файла на сервере или добавление его в качестве параметра конфигурации приложения не подходит.
Мой текущий план состоит в том, чтобы сохранить секретный код в приложении и сохранить другой секрет в конфигурациях приложения. Окончательный ключ, используемый для шифрования JWT, будет получен путем шифрования ключа в конфигах с ключом, жестко закодированным в приложении. При этом системные администраторы получают только часть ключа, а программисты также имеют только часть ключа, поэтому ни один из них не может знать окончательный ключ, используемый для шифрования JWT.
Есть ли ограничения этого подхода? Или есть стандартный способ сделать это?