Разъяснения авторизации Hasura

Question

Разъяснения авторизации Hasura

У меня есть две вещи, которые я хотел бы подтвердить, прежде чем двигаться вперед с обходным путем, который я имею в виду.

При использовании JWT Auth с алгоритмом HS256 у меня есть ключ длиной менее 32 символов. Я получаю эту ошибку: «Ошибка в $: недопустимый JWK: размер ключа слишком мал; должно быть не менее 32 символов». Так это жесткое требование? или есть какой-нибудь трюк, чтобы превратить это в предупреждение вместо ошибки?
Можем ли мы настроить аутентификацию консоли Hasura из секрета администратора? для скажем SSO или что-нибудь?

0

hasura hasura-jwt

Источник

user12139564 07 окт '22 в 07:44

1 ответ

Другие вопросы по тегам hasura hasura-jwt

user3478219 10 окт '22 в 12:10 2022-10-10 12:10 · Answer 1 · 2022-10-10 12:10

Для первого да, это жесткое требование. вы можете прочитать больше об этом в RFC 7518

В этом алгоритме НЕОБХОДИМО использовать ключ того же размера, что и выходной хэш (например, 256 бит для «HS256») или больше. (Это требование основано на Разделе 5.3.4 (Влияние ключа HMAC на безопасность) NIST SP 800-117 [NIST.800-107], в котором говорится, что эффективная степень защиты является минимальной степенью защиты ключа и в два раза больше размера внутреннего хеш-значения.)