服务器安全性指南

如果您搭建了服务器,那么安全性是您第一位要考虑到。所以这里有一些关于客户端的安全设置。以防止未授权登录。

JWT安全性须知
Secret安全性 交给您的 Secret 是非常重要的安全保证,请不要随意泄露该Token。每个服务器的Secret都是不同的,请不用担心重复的Secret问题
数字签名 JWT 使用了数字签名方式,(与给您的Secret一起组成验证方案),保证了无法伪造的登录字符串,所以不用担心其他伪造的客户端登录您的服务器,为了保证您服务器的安全,也不要泄露任何用户的token到第三方
服务器之间的安全性 所有的用户JWT Token都是独一无二,且只能用来登录您的服务器的。同样的,其他服务器的token也是无法登录您的服务器的,请您放心使用该种加密方式
ACL控制 在每个用户的JWT token中,都包含了登录控制ACL。未授权用户即使购买了没有注册的的设备,您的服务器也不会受到无端的输入包干扰
license控制 我们提供了2个控制字段
license:True/False 这个字段用来控制您是否允许未注册的朋友登录 例如您设置了Claim为 license:True,那么没有包含该字段的设备是无法登录您的服务器的
isbanned:True/False 这个字段用于控制列入黑名单的设备是否允许登录,当有的用户被第三方举报以后,我们会采取拉入黑名单的方式,一旦该设备进入黑名单,您可以通过设置该字段为False,保证黑名单设备不会登录您的服务器