मैं जेडब्ल्यूटी जेएसओएन वेब टोकन को अधिक सुरक्षित कैसे बनाता हूं?

JWT टोकन हाल ही में वेब अनुप्रयोगों में एक बहुत लोकप्रिय प्रमाणीकरण विधि बन गए हैं। हालांकि यह संसाधनों की रक्षा के लिए सबसे सुरक्षित तरीकों में से एक है, और बाजार पर कोई विकल्प नहीं है-ध्यान रखें कि हर गुलाब स्पाइक्स है और यहां भी कई संभावित जोखिम छिपे हुए हैं । वे मुख्य रूप से कार्यान्वयन त्रुटियों के कारण हैं। उनके खिलाफ गार्ड के लिए, यह निम्नलिखित नियमों से चिपके रहने लायक है:

1. सुनिश्चित करें कि आप कम से कम 2048 बिट्स की पर्याप्त जटिल एन्क्रिप्शन कुंजी का उपयोग कर रहे हैं।
2. एन्क्रिप्शन कुंजी के रिसाव के मामले में एक प्रक्रिया बनाएं।
3. चाबियाँ एक सुरक्षित तरीके से संग्रहीत किया जाना चाहिए (उदाहरण के लिए वे स्रोत कोड में नहीं होना चाहिए)।
4. सर्वर द्वारा एक विशिष्ट हस्ताक्षर विधि की आवश्यकता होनी चाहिए ताकि इसे क्लाइंट की ओर से बदला न जा सके।
5. सत्यापित करें कि आपका कार्यान्वयन हस्ताक्षर एल्गोरिदम "कोई नहीं" की अनुमति नहीं देता है।
6. सत्यापित करें कि आपका कार्यान्वयन हस्ताक्षर की जांच करना सुनिश्चित करता है (यह एक खाली हस्ताक्षर स्वीकार नहीं करता है और "सत्यापित ()) और "डिकोड ()) के कार्यों के बीच अंतर करता है।
7. सत्यापित करें कि डिबग मोड अक्षम है और ग्राहक पक्ष पर लागू नहीं किया जा सकता है।
8. यूआरएल में जेडब्ल्यूटी टोकन जमा न करें।
9. सत्यापित करें कि आप जेडब्ल्यूटी टोकन में संवेदनशील जानकारी का खुलासा नहीं करते हैं।
10. सुनिश्चित करें कि आप अपने आप को एक पुनरावृत्ति हमले से बचा रहे हैं ।
11. सत्यापित करें कि टोकन का जीवनकाल पर्याप्त रूप से कम है और इसे वास्तव में सही ढंग से जांचा जाता है।
12. विचार करें कि आपको व्यक्तिगत टोकन को अमान्य करने के कार्य की आवश्यकता है या नहीं।