Мне нужен совет по аутентификации запросов gRPC и как убедиться, что данные не были подделаны. Я думал об использовании JWT для обмена информацией, то есть вычислил подпись с секретным ключом на стороне клиента, отправил ее через заголовок, а затем сделал ту же самую часть сервера вычислений, чтобы увидеть, совпадают ли они. У меня нет выделенного сервера аутентификации для создания токенов, так что это будет сделано между клиентом и сервером. JWT будет хорошим выбором здесь?
Кроме того, какие претензии должны быть включены в полезную нагрузку JWT?
- Запросить данные?
- Адрес и метод?
- Expiretime и Nonce, чтобы избежать повторных атак?