¿Se debe presentar un caso para la autorización con un certificado del lado del cliente y JWT para un dispositivo IoT?
¿Son los JWT lo suficientemente buenos (asumiendo que se siguen las especificaciones)?
Y si los certificados del lado del cliente son realmente necesarios, ¿qué hay de las fechas de vencimiento? (¿Establece la fecha de caducidad del certificado de cliente en el futuro, etc.)?
La única razón por la que necesita el JWT adicional es si se van a utilizar diferentes reclamos e identidades con los dispositivos que requieren privilegios separados.
Ahora que esto es IoT, ¿tiene una forma de revocar y actualizar certificados? ¿Eres capaz de manejar todas las operaciones de certificado requeridas?
Déjame explicarte con un ejemplo: supongamos que estás usando device provisioning service de Azure, requiere el certificado 509. Pero para obtener un certificado firmado necesitamos una clave / par para ser generados en el dispositivo. Así que KEY juega un papel importante y perderlo es un riesgo. Por lo tanto, debemos diseñar de tal manera que la clave se posea en función de la solicitud / demanda. para solicitar o exigir, podemos iniciar la confianza utilizando JWT :) por lo que esto ayuda a asegurar el diseño
Lea otras preguntas en las etiquetas tls certificates iot jwt