JSON WEBTOKENS a kwestie bezpieczeństwa

Question

1. jak długie powinno być prywatne hasło dla tokenu po stronie servera oraz jak długość wplywa na czas przetwarzania tokenu?

2. w części tokenu z informacjami zazwyczaj zawiera się zwykłe id użytkownika co według mnie jest bez sensu, ponieważ gdy ktoś zdobędzie prywatny klucz może podpisywać tokeny i zmieniając id łatwo uzyskać dostęp do każdego konta (tak wiem że to jest bardzo ciężkie, ale wciąż możliwe),

nie jest lepiej w tokenach posługiwać się nie publicznym id użytkownika? np. (id)_(salt) ex. 337_zgje1rtsa5wl (id zapisane tylko w bazie i sprawdzanie podczas interakcji z nią)

wtedy token spełni swoją rolę, a osoba mająca klucz prywatny wciąż nie będzie mogła dokonać żadnych zmian.

 

3. Niby tokeny mają ograniczyć liczbe zapytań do bazy, ale przecież token wysyłamy do servera najczęściej przy zmianach w bazie aby potwierdzić tożsamość, więc połączenie z nią i tak musi się odbyć, czy źle to rozumiem?

Answer 1

1. Minimum 8 znaków, długość i typ używany w szyfrowaniu ma znaczenie mówię tutaj o np. ASCII. Na czas wpływa długość i jak zbudowany jest pojedyńczy znak, przy zastosowaniu 8 znaków w ASCII zajmie to 2040 bajtów które sam możesz sobie przeliczyć ile serwer będzie odczytywał.

2. To jest praktycznie nie możliwe i taki sposób jest opłacalny ze względu że nie trzeba dodawać kolejnych adresów.
3. Tak

Answer 2

https://sekurak.pl/darmowy-ebook-o-bezpieczenstwie-jwt-json-web-token-pierwszy-tekst-z-papierowej-ksiazki-sekuraka/