Междоменная аутентификация с jwt и 2 серверами в качестве акционеров secret_key

Question

Я бы хотел знать, безопасен ли этот подход:

У меня есть сервер A и B

Пользователь входит в систему через сервер A, который использует учетные данные пользователя и генерирует токен JWT с секретным ключом, а затем перенаправляет пользователя на сервер B с помощью jwt в URL? или по почте?

А затем сервер B проверяет этот токен из-за того, что он использует тот же секретный ключ

Оба сервера "мои" и используется HTTPS.

Это безопасно?

Answer 1

Метод, который вы предлагаете, в целом безопасен. Некоторые вещи для рассмотрения:

• Вы можете использовать пару открытых / закрытых ключей, чтобы сервер B не мог создавать токены, только проверять их.

• При перенаправлении предпочитайте метод POST, чтобы пользователи не могли случайно скопировать и вставить URL-адрес с допустимым токеном.