Безопасно ли подписывать JWT в мобильных приложениях?

Question

Когда пользователь вводит имя пользователя и пароль в мобильное приложение (iOS, Android или приложение для Windows), он вызывает стороннюю веб-службу входа oAuth, которая отвечает обратно токеном доступа oAuth и токеном обновления. Теперь приложение генерирует JWT и подписывает его секретным ключом, хранящимся в приложении. Этот jwt используется для аутентификации на множестве внутренних API

В этом контексте безопасно ли доверять этой модели AUTH? Поскольку в общем случае JwT генерируются на стороне сервера, целостность сохраняется.

Какова опасность подписания JWT в мобильных приложениях? Будет ли когда-нибудь скомпрометирован секретный ключ подписи, хранящийся в приложениях?

Answer 1

Будет ли когда-нибудь скомпрометирован секретный ключ подписи, хранящийся в приложениях?

Да, ключ подписи может быть взломан. Это можно сделать, декомпилировав исполняемый файл приложения.

Вместо того, чтобы хранить токен в базе данных sqlite или локальном файле, вы можете использовать безопасное хранилище, предоставляемое каждой из этих платформ.

Для iOS вы можете просто использовать Keychain , безопасное хранилище, предназначенное для этой цели.

Что касается Android, аналогичную функциональность обеспечивает Keystore .