일딴 지금 게이트웨이에서 jwt토큰을 검증하고 필요한 정보(예를들어 권한같은거?)를 헤더에 담아서 각 서비스에 보내려고해
근데 궁금한게
회원 로그인, 가입 같은건 회원 서비스에서 하고
게이트웨이에선 정상적인 토큰인지 확인만하고 각 서비스로 전달하려고하는데
시크릿키를 게이트웨이랑 회원서비스랑 둘다 같은 키를 공유해야하는거야??
요약하자면
1. 게이트웨이는 jwt를 검증만하고 넘겨줌
2. 회원서비스에서 jwt를 생성함.
3. 그럼 게이트웨이랑 회원서비스는 같은 시크릿키를 공유해야하는지? 그럼 시크릿키가 바뀌면 게이트웨이랑 회원서비스 둘다 바꿔야 하는거야?
이건 뭔가 비 효율적인거같아서 내가 지금 생각을 잘못하고있는거같아서 질문함...
4개의 댓글
무분별한 사용은 차단될 수 있습니다.
예스오얼노
jwt 를 생성하는 서비스에서 비밀키로 서명을 하고요.
다른 서비스들에선 공개키를 들고 검증 하면 되죠.
같은 시크릿키를 공유하던, 제가 언급한 비대칭키를 사용하던
시크릿키가 변경되면 당연히 신규 키로 검증해야 하구용
반대로 시크릿이 바뀌었는데 기존에 쓰던걸로 검증이 되는게 이상한거 아님?
피한정후견인
아하. 덕분에 뭐가 부족한지 알게된거같아, 뭘 찾아봐야하는지 방향을 정할수있게된거같아옷.
좀 더 공부하고 다시 찾아오겠습니다.
피한정후견인
이제야 알아버렸네요
내가 서명과 암호화를 같은알고리즘이라고 생각했던게 문제였음..
예스오얼노
화이팅하세용