Рекомендации по проверке пароля JWT

Question

У меня есть веб-API asp.net.Я реализовал проверку подлинности токена, что я пытаюсь проверить имя пользователя и пароль из базы данных.Я новичок в JWT, поэтому мне нужен ваш совет.

Вот мои вопросы;

1. Должен ли я зашифровать имя пользователя и пароль в моей базе данных?
2. Клиент отправляетимя пользователя и пароль в теле запроса, должен ли клиент отправлять их в заголовке?И должны ли они быть зашифрованы?

С наилучшими пожеланиями.

Answer 1

1. Вы должны абсолютно зашифровать свой пароль в базе данных.Еще лучше, если вы хешируете его с помощью "salt" (хеширование позволит вам реализовать логику в журнале, но исходный пароль будет невозможно восстановить, даже если вы знаете хеш).

2. Отправка пароля в теле запроса - это нормально, если соединение защищено TLS (HTTPS).Нет смысла помещать его в заголовки.

Имена пользователей часто хранятся в виде простого текста.

PS Ваш вопрос не имеет ничего общего с JWT, это просто общее управление паролями.