Реализуйте пользовательский рабочий процесс JWT

Question

Я использую nodejs для остальных API и клиентское приложение на iOS и Android.

Обычно сервер генерирует или подписывает JWT и отправляет на устройство. Устройство сохраняет его локально и использует для последующих запросов.

Но я планирую реализовать собственный сценарий JWT в моем приложении.

Планируется создать токен для каждого запроса в самом устройстве и проверить его на сервере.

Поэтому, когда хакеры крадут ключ, он не может использовать его ни разу, так как JWT недействителен.

Кроме того, клиент, выдающий токен, не может запросить этот же токен снова.

Будет ли это работать или я должен следовать общим стандартам реализации JWT. Есть идеи экспертов?

Если да, у меня есть несколько вопросов

1) Возможно ли получить ключ (или логику, лежащую в основе этого) с клиентского устройства и поставить под угрозу безопасность

2) Будет ли снижение производительности на сервере

Answer 1

Не рекомендуется извлекать ключи с клиентского устройства, что в будущем станет угрозой безопасности.

Если вы хотите создать пользовательский JWT в вашем случае, вы можете разработать службу отдыха, названную в качестве службы аутентификации, которая будет использоваться для аутентификации. Вы можете позвонить в службу аутентификации с необходимыми данными, а в бэк-энде вы можете проверить переданные данные.

После этого вы можете создать свой собственный JWT с соответствующим временем истечения и передать его в качестве ответа, который можно использовать для других остальных вызовов, пока он не истечет.