A cada dia que passa o JWT se torna mais popular. Uma opção quase padrão para proteger API's. O problema não é a chave simétrica e sim como ela é utilizada. Você deveria tomar cuidado e rever a implementação de
Segurança
Artigos técnicos que tem como base segurança de aplicações
IdentityServer4 - Key Material
Na documentação oficial do IdentityServer4, na seção Deployment há uma menção sobre Key Material e sua importancia no ambiente de produção. Mas você sabe o que é Key Material? Em criptografia Key Material são os dados privados que compõem uma
Como o IdentityServer4 assina o JWT?
A implementação padrão do IdentityServer4, QuickStart UI, utiliza o algoritmo RSA RS256 (RSASSA-PKCS1-v1_5 using SHA-256) para assinar seus JWTs. Ao ter o primeiro contato com o IdentityServer4, através de seus samples, na maioria dos exemplos será utilizado essa anotação:
ASP.NET Core - Como assinar digitalmente seu JWT
Quando decidimos utilizar JWT em nossas API's e Frontend SPA, precisamos utilizar um algoritmo ao emitir um token. Há diversas opções para assinar o JWT. Ele deve ser simétrico ou assimétrico. Probabilistico ou deterministico. Veja neste artigo como assinar seu
Componentes do JWT (JWS, JWE, JWA, JWK, JWKS)
Você sabia que o formato JWT pode ser tanto um JWS quanto um JWE? E que o algoritmo mais recomendado para assinar um JWT é o ECDsa P-256 SHA-256 (ES256)? Veja neste artigo detalhes do JWT e como proteger melhor
ASP.NET Core 3.1 - Integrando com IdentityServer4
Veja como integrar o ASP.NET Core 3.1 com o protoco OpenId Connect. Neste tutorial utilizamos o IdentityServer4 como provedor de OAuth2 + OpenId Connect Após a versão 3 do .NET Core, houve diversos breaking changes. Muitos deles relacionados a