私はJWTがどのように機能するかを理解しており、私の秘密があれば誰でも新しいトークンを発行できます。私はノードのWebサイトが実行されているサーバーを制御しており、キーをホストするためのさまざまなオプションを検討しています。
2番目のオプションは、シンプルなウェブサイトに最適な方法のように見えます(クレジットカードやSSNなどの非常に機密性の高いユーザー情報はありません)。
これは良い解決策ですか?
言ったように環境変数を使用します。ログにリークしないように、変数に値を実際に渡す方法に注意してください。
たとえば、_docker run -e SECRET=foo
_の代わりにdocker run -e SECRET=$(cat my_secret)
を使用します。