jsonwebtoken अप्रतिबंधित कुंजी प्रकार, पुराने कुंजियों के उपयोग का कारण बन सकता है

# अवलोकन `jsonwebtoken` लाइब्रेरी के `<=8.5.1` संस्करणों को गलत तरीके से कॉन्फ़िगर किया जा सकता है ताकि हस्ताक्षर सत्यापन के लिए पुरानी, असुरक्षित कुंजी प्रकारों का उपयोग किया जा सके। उदाहरण के लिए, DSA कुंजियों का उपयोग RS256 एल्गोरिथ्म के साथ किया जा सकता है। # क्या मैं प्रभावित हूँ? यदि आप नीचे उल्लिखित संयोजनों के अलावा किसी अन्य एल्गोरिथ्म और कुंजी प्रकार का उपयोग कर रहे हैं तो आप प्रभावित हैं | कुंजी प्रकार | एल्गोरिथ्म | |----------|------------------------------------------| | ec | ES256, ES384, ES512 | | rsa | RS256, RS384, RS512, PS256, PS384, PS512 | | rsa-pss | PS256, PS384, PS512 | और Elliptic Curve एल्गोरिदम के लिए: | `alg` | वक्र | |-------|------------| | ES256 | prime256v1 | | ES384 | secp384r1 | | ES512 | secp521r1 | # मैं इसे कैसे ठीक करूं? संस्करण 9.0.0 में अपडेट करें। यह संस्करण असममित कुंजी प्रकार और एल्गोरिथ्म संयोजनों के लिए मान्य है। कृपया मान्य सुरक्षित कॉन्फ़िगरेशन के लिए ऊपर उल्लिखित एल्गोरिथ्म / कुंजी प्रकार संयोजनों को देखें। संस्करण 9.0.0 में अपडेट करने के बाद, यदि आप अभी भी अमान्य कुंजी प्रकार/एल्गोरिथ्म मान संयोजनों का उपयोग करके टोकन पर हस्ताक्षर करना या सत्यापित करना जारी रखना चाहते हैं, तो आपको `allowInvalid` सेट करने की आवश्यकता होगी