如果我要使用JOSE(JWT&;JWE),是否不需要HTTPS?
我最近正在寻找一个网络安全解决方案,据我所知,HTTPS将带来更多的网络安全,但我发现了另一个JOSE(JWT&JWE)的安全解决方案,所以我想知道,我将来会使用它,我可以只使用HTTP而不使用HTTPS吗 克里斯。如果我要使用JOSE(JWT&;JWE),是否不需要HTTPS?,https,jwt,jwe,Https,Jwt,Jwe,我最近正在寻找一个网络安全解决方案,据我所知,HTTPS将带来更多的网络安全,但我发现了另一个JOSE(JWT&JWE)的安全解决方案,所以我想知道,我将来会使用它,我可以只使用HTTP而不使用HTTPS吗 克里斯。 谢谢即使您正在使用JWTs和JWEs,您也绝对需要HTTPS。HTTPS允许您的客户端验证他们是否正在与他们希望与之对话的服务器进行对话。它还保护通信内容,包括您正在使用的JWT/JWE令牌。如果没有HTTPS,任何能够监听您的客户端和服务器之间通信的人都可以模拟您的客户端 JWT
谢谢即使您正在使用JWTs和JWEs,您也绝对需要HTTPS。HTTPS允许您的客户端验证他们是否正在与他们希望与之对话的服务器进行对话。它还保护通信内容,包括您正在使用的JWT/JWE令牌。如果没有HTTPS,任何能够监听您的客户端和服务器之间通信的人都可以模拟您的客户端
JWT尤其可以携带有关用户的信息。您可能不需要将其转发给授予令牌的授权服务器(如果您使用的是非对称签名密钥),并且仍然有足够的关于用户身份和权限的信息来授予或拒绝他们访问您所保护的资源。即使您使用的是JWTs和JWEs,您也绝对需要HTTPS。HTTPS允许您的客户端验证他们是否正在与他们希望与之对话的服务器进行对话。它还保护通信内容,包括您正在使用的JWT/JWE令牌。如果没有HTTPS,任何能够监听您的客户端和服务器之间通信的人都可以模拟您的客户端
JWT尤其可以携带有关用户的信息。您可能不需要将其转发给授予令牌的授权服务器(如果您使用的是非对称签名密钥)并且仍然有足够的关于用户身份和权限的信息来授予或拒绝他们访问您所保护的资源。您的问题对我来说是合法的,我很抱歉看到您收到了反对票 据我所知,HTTPS将为web带来更多的安全性,但我找到了JOSE的另一个安全解决方案(JWT&JWE) 我认为这两种技术之间存在混淆 JWE只是一种使用基于JSON的数据结构表示内容并提供完整性保护和加密的格式,而HTTPS是HTTP通信协议的安全层 JWE不是HTTPS协议的替代品。 一种技术、另一种技术或两者的使用仅取决于您的应用程序上下文。在某些上下文中,HTTPS可能不是绝对必要的,并且通过其他方式提供安全通信
您提到要为安全应用程序找到解决方案。在这种情况下,应始终使用安全连接。您的问题对我来说是合法的,我很抱歉看到您收到了反对票 据我所知,HTTPS将为web带来更多的安全性,但我找到了JOSE的另一个安全解决方案(JWT&JWE) 我认为这两种技术之间存在混淆 JWE只是一种使用基于JSON的数据结构表示内容并提供完整性保护和加密的格式,而HTTPS是HTTP通信协议的安全层 JWE不是HTTPS协议的替代品。 一种技术、另一种技术或两者的使用仅取决于您的应用程序上下文。在某些上下文中,HTTPS可能不是绝对必要的,并且通过其他方式提供安全通信
您提到要为安全应用程序找到解决方案。在这种情况下,应始终使用安全连接。这取决于您实际需要什么。您想为用户提供隐私吗?那么是的,当然你必须使用HTTPS。同样令人困惑的是,JWT&JWE不能给用户隐私?据我所知,它将验证数据并加密数据,这对用户隐私来说还不够吗?有很多概念你都跳过了。嗅探用户历史记录怎么样?再说一遍,我不知道你的实际需要是什么。在任何情况下,HTTPS都比HTTP下的任何东西都更加安全和私有。如果我要使用HTTPS,那么就不需要使用JOSE?HTTPS确实保证了服务器身份,它可以防止MITM。我不知道JWT是如何生成的,但之前的理由很有说服力,不使用HTTP进行任何身份验证过程。这取决于您实际需要什么。您想为用户提供隐私吗?那么是的,当然你必须使用HTTPS。同样令人困惑的是,JWT&JWE不能给用户隐私?据我所知,它将验证数据并加密数据,这对用户隐私来说还不够吗?有很多概念你都跳过了。嗅探用户历史记录怎么样?再说一遍,我不知道你的实际需要是什么。在任何情况下,HTTPS都比HTTP下的任何东西都更加安全和私有。如果我要使用HTTPS,那么就不需要使用JOSE?HTTPS确实保证了服务器身份,它可以防止MITM。我不知道JWT是如何生成的,我还没有使用它,但是前面的原因很有说服力,不使用HTTP进行任何身份验证过程。