自行构建Token认证方案，密钥是否应该与Token一同返回客户端？

JWT与Token签名认证方案的疑虑解答

问题：自行创建的Token认证方案中，是否需要将秘钥与Token一同返回客户端？

解答：

对于不可控制的JWT，建议采用扩展机制配合Redis实现Token黑名单，从而弥补其缺陷。

为了防止密钥被截获，应对前端和后端之间的交互采用HTTPS。HTTPS可以有效避免客户端Token或SessionID在传输过程中被窃取。

至于自行构建的“UserId+Token+时间戳+密钥+请求参数”签名方案，需要考虑密钥泄露带来的安全风险。建议采用更加通用的HTTPS技术来保障通信安全性。

HTTPS的优势：

• 传输加密：HTTPS采用TLS/SSL协议对数据进行加密，确保数据在传输过程中不被截获和篡改。
• 身份验证：HTTPS通过SSL证书验证服务器身份，确保用户与预期的服务器建立连接。
• 无需维护秘钥：HTTPS无需在客户端和服务器之间传输秘钥，降低了秘钥泄露风险。

推荐观看视频：

• 【web安全3】【硬核】HTTPS原理全解析
• HTTPS是如何工作的？3分钟介绍HTTPS