Closed24
next-authのjwt周り
src/lib/jwt.js
HKDF
futoin-hkdf
secretどこから来てるの?
使ってるJWT関連ライブラリ
The default behaviour is volatile, and it is strongly recommended you explicitly specify a value to avoid invalidating end user sessions when configuration changes are deployed.
- デプロイすると揮発するので明示的にすることが推奨される
明示しない場合はuserOption, basePath, baseUrlでhash化した値っぽい
options.secret
に明示指定してdecode
すると解消する。
jwt.secret
の値だけセットしても利用されない?
Bearer tokenも対応してる
サーバー間認証
npx node-jose-tools newkey -s 256 -t oct -a HS512
jose newkey -s 256 -t ec -a HS512
kty=oct / ec
暗号アルゴリズムファミリoct = octet sequence
HS256、HS384、HS512 は対称鍵系アルゴリズムなので、認可サーバー(JWT 型アクセストークンを生成する側)とリソースサーバー(JWT 型アクセストークンを解釈する側)が同じ鍵を共有する必要があります。
next-authのjwtは対称キーなので外部疎通には向かないと見て良い
このスクラップは2021/02/12にクローズされました