Где хранить секретный ключ, если приложение работает в режиме SPA (NUXT)?

Коллеги добрый день!
Где хранить секретный ключ, для верификации JWT?

О чём я?

Я понимаю принцип работы JWT и как проверять и где хранить если речь идёт об API
Но где хранить секретный ключ, для проверки токена

Получается, что для защиты маршрутов в NUXT и защиты методов API я использую 1 секретный ключ.
Проверка токена на сервере и проверка токена в клиенте.

Но ведь коню понятно, что константа, которая будет скачена браузером будет находиться в клиенте

Например:
5d2df9c03f2ff478989709.png

Вот например тут тоже как то поверхностно и секретный ключ хранится в коде
Тыц
  • Вопрос задан
  • 511 просмотров
Решения вопроса 1
Robur
@Robur
Знаю больше чем это необходимо
На сервере и хранить.
На клиенте jwt можно проверять если он подписан по схеме public/private (RSA или ECDSA)
Если у вас подпись HMAC - то проверка токена на клиенте делается путем запроса на бекенд.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы