注:我是小bai有些问题不太懂,希望亲们指点迷津,当前的前端指的是游览器web前端,我不清楚移动端会不会遇到类似的问题,如果会遇到麻烦一并指导一下:),如果我的思路设计提出的问题啥的有问题也麻烦亲们给我指出优化,感谢:)。
1、前言:当前项目接口校验使用的是jwt无状态token,用户每次请求服务端都会携带该token,该token有效时间可能比较久1~7天或更长,只要token泄露,不法分子就可以使用该token伪造请求,我想前端使用RSA公钥和时间等数据加密token,让加密后的数据成为一个短时间、一次性的消耗品。现在遇到一些疑问
2、问题:怎么样才能保证公钥的安全呢。公钥放在代码内会被反编译获取,想把公钥和源代码隔离,把公钥放在服务器文件内,使用环境变量获取。如果是在web端读取公钥用于加密的时候,打个断点不是就能看到变量内的数据了吗?
3、诉求:想了解一下前端怎么保证公钥的安全,欢迎大家回答~