JWT: Jaki jest dobry tajny klucz i jak go przechowywać w aplikacji Node.js/Express?

Question

Po pierwsze, jaka jest dobra metoda generowania tajnego klucza? Powinienem uderzyć w wiele losowych klawiszy na mojej klawiaturze, żeby je wygenerować, ale musi być lepsze rozwiązanie tego. Wyjaśnij sposób generowania bardzo dobrego klucza.

Po drugie, jaki jest dobry sposób na przechowywanie klucza? Mógłbym zapisać klucz w mojej konfiguracji aplikacji, ale oznacza to, że kompromis kodu źródłowego zagraża całemu systemowi. Jaki jest dobry sposób przechowywania tajnego klucza w aplikacji Node.js Express?

Answer 1

Aby wygenerować tajemnicy programowo można użyć węzła crypto.randomBytes()

var crypto = require('crypto'); 
var jwt = require('jsonwebtoken'); 

crypto.randomBytes(256, function(ex, buf) { 
    if (ex) throw ex; 
    var token = jwt.sign({foo: 'bar'}, buf); 
    var decoded = jwt.verify(token, buf); 
}); 

chodzi o przechowywanie tego, jesteś absolutnie poprawne, nie należy zdecydowanie przechowywania sekretów w swojej kontroli źródła. Lepszym sposobem byłoby załadowanie takich poufnych informacji ze zmiennych środowiskowych, np. process.env.MY_SECRET.

Innym, mniej popularnym wzorem, jaki widziałem, jest ładowanie sekretów z pliku przechowywanego oddzielnie od kodu. Możliwe, że aplikacja węzła będzie szukała na przykład pliku JSON w wersji ~/.myapp/secrets.json.