Подпись JWT

Продукт Login поддерживает два алгоритма генерации подписи JWT:

• HS256 — алгоритм, в котором существует только один ключ. Этот ключ является общим для обеих сторон — для сервера Xsolla Login и вашего приложения — и должен храниться в секрете. Один и тот же ключ используется как для создания подписи токена, так и для ее проверки.
• RS256 — алгоритм, в котором существует пара ключей: один открытый ключ и один закрытый, который должен храниться в секрете. Закрытый ключ хранится только на сервере Xsolla Login и используется для подписания токенов. Открытый ключ (веб-ключ JSON) предоставляется вашему приложению для валидации токенов.

В зависимости от выбранного алгоритма генерации подписи вашему приложению необходимо будет по-разному валидировать токены.

При создании проекта авторизации по умолчанию выбирается алгоритм HS256 и автоматически генерируется секретный ключ для подписания и валидации токенов. Получите ключ, как описано в разделе Как получить ключ валидации JWT. Чтобы изменить алгоритм генерации подписи и/или сгенерировать новый ключ валидации токенов, а также изменить время, в течение которого токен действителен, обратитесь к разделу Как изменить настройки подписи JWT.

Как получить ключ валидации JWT

1. Откройте проект в Личном кабинете и перейдите в раздел Login.
2. Нажмите Настроить в панели нужного варианта авторизации.
3. Перейдите к блоку Безопасность и выберите раздел OAuth 2.0 аутентификация.

4. Нажмите значок копирования.

Используйте скопированный ключ для валидации JWT в ваших приложениях, связанных с данным вариантом авторизации.

Как изменить настройки подписи JWT

Вы можете изменить алгоритм генерации подписи JWT, сгенерировать новый ключ валидации токенов, а также изменить срок действия токенов.

1. Откройте проект в Личном кабинете и перейдите в раздел Login.
2. Нажмите Настроить в панели нужного варианта авторизации.
3. Перейдите к блоку Безопасность и выберите раздел Подпись JWT.
4. Если необходимо, измените алгоритм генерации подписи: HS256 или RS256.
5. Чтобы сбросить текущий ключ, нажмите:
   • для алгоритма HS256 — Сбросить секретный ключ;
   • для алгоритма RS256 — Сбросить веб-ключ JSON.

6. Если вы изменили алгоритм генерации подписи или сбросили текущий ключ, продукт Login сгенерирует новый ключ (пару ключей). В этом случае:
   1. Скопируйте новый ключ валидации токенов, нажав значок копирования.
   2. Обновите ключ валидации токенов во всех ваших приложениях, связанных с данным вариантом авторизации.
7. Чтобы изменить продолжительность действия токенов, укажите желаемое значение в секундах в поле Срок действия токена.
8. Нажмите Сохранить изменения.

1. Если вы выполнили действие, которое привело к изменению текущего ключа валидации токенов (изменение алгоритма или сброс текущего ключа), продукт Login запросит подтверждение для применения нового ключа.

9. В модальном окне установите флажок Я понимаю и нажмите Да, применить.