O tipo de chave irrestrito jsonwebtoken pode levar ao uso de chaves legadas

# Visão geral Versões `<=8.5.1` da biblioteca `jsonwebtoken` podem ser configuradas incorretamente para que tipos de chaves legadas e inseguras sejam usados para verificação de assinatura. Por exemplo, chaves DSA podem ser usadas com o algoritmo RS256. # Sou afetado? Você é afetado se estiver usando um algoritmo e um tipo de chave diferentes das combinações mencionadas abaixo | Tipo de chave | algoritmo | |----------|------------------------------------------| | ec | ES256, ES384, ES512 | | rsa | RS256, RS384, RS512, PS256, PS384, PS512 | | rsa-pss | PS256, PS384, PS512 | E para algoritmos de Curva Elíptica: | `alg` | Curva | |-------|------------| | ES256 | prime256v1 | | ES384 | secp384r1 | | ES512 | secp521r1 | # Como corrijo isso? Atualize para a versão 9.0.0. Esta versão valida as combinações de tipo de chave assimétrica e algoritmo. Consulte as combinações de algoritmo/tipo de chave mencionadas acima para a configuração segura válida. Após atualizar para a versão 9.0.0, se você ainda pretende continuar assinando ou verificando tokens usando combinações inválidas de tipo de chave/valor de algoritmo, você precisará definir o `allowInvalid`