JWT: Qual è una buona chiave segreta e come conservarla in un'app Node.js/Express?

Question

In primo luogo, qual è un buon metodo per generare una chiave segreta? Dovrei digitare un sacco di tasti casuali sulla mia tastiera per generarne uno, ma ci deve essere una soluzione migliore per questo. Spiega come generare una buona chiave.

In secondo luogo, qual è un buon modo per memorizzare la chiave? Potrei scrivere la chiave nella configurazione delle mie applicazioni, ma ciò significa che un compromesso del codice sorgente comprometterà l'intero sistema. Cosa è utile per memorizzare la chiave segreta in un'app Node.js Express?

Answer 1

Per generare un segreto programatically si potrebbe usare crypto.randomBytes()

var crypto = require('crypto'); 
var jwt = require('jsonwebtoken'); 

crypto.randomBytes(256, function(ex, buf) { 
    if (ex) throw ex; 
    var token = jwt.sign({foo: 'bar'}, buf); 
    var decoded = jwt.verify(token, buf); 
}); 

Per quanto riguarda la memorizzazione di questo, si è assolutamente corretto, non si dovrebbe assolutamente conservare i segreti del nodo nel controllo del codice sorgente. Un modo migliore sarebbe quello di caricare tali informazioni sensibili da variabili di ambiente, ad esempio process.env.MY_SECRET.

Un altro schema meno comune che ho visto è quello di caricare i segreti da un file memorizzato separato dal codice. Ad esempio, l'app nodo potrebbe cercare un file JSON in ~/.myapp/secrets.json.