标签: security server
无论是cookie签名,数据库的超级用户用户名和密码,还是JWT令牌签名,服务器端都有密钥来保护操作。
但是这个密钥很可能只是服务器代码上的一个普通字符串。我一直想知道是否有更多的程序来保护服务器端的这些密钥字符串?对此的担忧,例如,如果攻击者设法访问服务器ssh,那么他就可以轻松获得密钥。或者我应该假设一旦攻击者可以访问服务器我已经失去了所有东西?
ssh
(这使我假设将秘密直接放在代码中是每个人都在做的事情,这是常见做法。)