注册
登录
区块链扩展技术
为什么客户端需要解密JWE?
返回
为什么客户端需要解密JWE?
作者:
啊这回彻底死了
发布时间:
2024-12-22 04:48:33 (2月前)
转自:
<div class =“excerpt”> 实施它?我应该用吗? <span class =“result-highlight”> 非对称 </跨度> <span class =“result-highlight”> 加密 </跨度> 并且没有提供公钥(这可能在JWE规范中)吗? 沿着这些方向,确保JWE令牌不是 的最佳方法是什么 </DIV>
收藏
举报
2 条回复
0#
回复此人
猫南北
|
2019-08-31 10-32
<div class =“post-text”itemprop =“text”> <BLOCKQUOTE> <P> 如果我使用JWE发送加密的JSON消息(将存储在客户端)以供授权使用,为什么客户端需要解密此消息? </p> </BLOCKQUOTE> <P> 当客户端需要读取JWT中包含的一些数据时,例如用户ID或到期日期。在所有情况下都不需要这样做。 </p> <BLOCKQUOTE> <P> 客户端将JWE令牌附加到所有请求。服务器使用JWE令牌识别客户端并响应或拒绝请求。 </p> </BLOCKQUOTE> <P> 是的,这是通常的授权流程 </p> <BLOCKQUOTE> <P> 在整个过程中,只有服务器才能解密。 </p> </BLOCKQUOTE> <P> 不必要。服务器可以加密 的<strong> 加密密钥 </强> 使用收件人的公钥,例如使用RSAES-OAEP。然后,收件人将能够使用他的私钥解密JWT </p> <BLOCKQUOTE> <P> 如果这个结构没有问题,那么实现它的最佳方法是什么?我应该使用非对称加密而不提供公钥(这是否可以在JWE规范中)? </p> </BLOCKQUOTE> <P> 这取决于您的要求。如果您希望客户端可以解密JWT,您需要提供密钥或使用不对称加密并将消息加密到收件人 </p> <BLOCKQUOTE> <P> 沿着这些方向,确保JWE令牌没有被截获的最佳方法是什么,虽然没有解密,但是附加到恶意服务器请求,有效地允许攻击者冒充客户端? </p> </BLOCKQUOTE> <P> JWT的遗留是认证证明。如果令牌被盗,则攻击者可以冒充用户。所以你需要保护它以降低风险: </p> <UL> <LI> <P> 的<strong> 主要使用HTTPS </强> 加密通信信道 </p> </LI> <LI> <P> 的<strong> 安全存放 </强> 在客户端上。 </p> </LI> </UL> </DIV>
编辑
登录
后才能参与评论
