Jwt每次运维人员离职都需要更新线上环境的密钥配置
运维人员有代码的权限,也有配置文件读写的权限。所以,任何想通过算法来规避运维人员手动生成jwt串的方法都无效。因为运维人员可以拿现成的你的代码生成一遍jwt串,无论你的代码写得多难理解;即使你生成了jar包,没上传代码,运维人员仍然可以通过你的jar包的api来生成一遍jwt串,而不需要知道任何的实现细节。
所以,唯一的确保jwt不泄漏的方法就是管理制度,也就是:谁管服务器,谁知道加密密钥,谁对...
原创
2019-10-23 15:48:36 ·
765 阅读 ·
1 评论