想象一下,我们有一个令牌颁发者负责OAuth授权代码流,另一个负责客户端凭据流,这两个流都专门为同一应用程序提供JWT。这两个代币发行商不应该使用相同的签名密钥,是否有充分的安全理由?
我认为在两个应用程序之间共享相同的私有签名密钥没有任何重大的安全问题。但这完全取决于您的安全级别以及如何处理密钥的轮换和管理。
然而,如果其中一个提供商被黑客入侵,那么另一个当然也很容易受到攻击。但我认为答案取决于情况。
许多IdentityProviders支持多个签名密钥,也许一个客户端需要比其他客户端更强的密钥/签名方案。或者一个系统只需要使用RSA和其他一些所需的ECDSA密钥。
但是,对于授权代码流和客户端凭据流
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium