ตัวอย่างส่วนใหญ่คำนึงถึงผู้ใช้เพียงคนเดียวเท่านั้นที่ใช้ระบบในบทช่วยสอน JWT/Flask ฉันต้องการทำความเข้าใจสิ่งนี้ในระดับผู้ใช้หลายคนแต่ไม่พบแหล่งข้อมูลที่ถูกต้อง
สมมติว่าเรามีรหัสลับดังต่อไปนี้:
app.config['SECRET_KEY'] = 'randomkey'
สองคำถาม:
- รหัสนี้จะเหมือนกันสำหรับผู้ใช้ทุกคนหรือไม่ ถ้าเป็นเช่นนั้น สิ่งนี้จะไม่ทำให้เกิดความเสี่ยงด้านความปลอดภัยหรือไม่ เพราะหากกุญแจถูกขโมย ทุกคนจะสามารถเข้าถึงทำอะไรก็ได้ที่ต้องการ
- หากไม่เหมือนกัน คีย์จะถูกจัดเก็บบนฝั่งเซิร์ฟเวอร์อย่างไรจึงจะสามารถรับรองความถูกต้องได้เมื่อขอข้อมูล มันจะถูกเก็บไว้ในตารางของผู้ใช้ภายใต้โทเค็นปัจจุบันหรืออะไรสักอย่าง?