Jwt 为什么客户端需要解密JWE?
如果我使用JWE发送一条加密的JSON消息,该消息将存储在客户端,用于授权,为什么客户端需要解密该消息 客户端将JWE令牌附加到所有请求。服务器使用JWE令牌标识客户端,并响应或拒绝请求。在整个过程中,只有服务器可以解密 如果这个结构没有问题,那么实现它的最佳方法是什么?我是否应该使用非对称加密而不提供公钥(这在JWE规范中是否可能) 沿着这些思路,什么是确保JWE令牌没有被截获,虽然没有被解密,但没有附加到恶意服务器请求,从而有效地允许攻击者模拟客户端的最佳方法 还有,我还遗漏了其他安全问题吗 如果我使用JWE发送一条加密的JSON消息,该消息将存储在客户端,用于授权,为什么客户端需要解密该消息 当客户端需要读取JWT中包含的一些数据时,例如用户id或到期日期。并非所有情况下都需要这样做 客户端将JWE令牌附加到所有请求。服务器使用JWE令牌标识客户端,并响应或拒绝请求 是的,这是通常的授权流程 在整个过程中,只有服务器可以解密 不一定。服务器可以使用收件人的公钥对加密密钥进行加密,例如使用RSAES-OAEP。然后接收者将能够用他的私钥解密JWT 如果这个结构没有问题,那么实现它的最佳方法是什么?我是否应该使用非对称加密而不提供公钥(这在JWE规范中是否可能) 这取决于你的要求。如果您希望客户端能够解密JWT,则需要提供密钥或使用非对称加密并将消息加密给收件人 沿着这些思路,什么是确保JWE令牌没有被截获,虽然没有被解密,但没有附加到恶意服务器请求,从而有效地允许攻击者模拟客户端的最佳方法 JWT的位置是身份验证的证明。如果令牌被盗,则攻击者可以模拟用户。因此,您需要保护它以降低风险:Jwt 为什么客户端需要解密JWE?,jwt,jwe,jose,Jwt,Jwe,Jose,如果我使用JWE发送一条加密的JSON消息,该消息将存储在客户端,用于授权,为什么客户端需要解密该消息 客户端将JWE令牌附加到所有请求。服务器使用JWE令牌标识客户端,并响应或拒绝请求。在整个过程中,只有服务器可以解密 如果这个结构没有问题,那么实现它的最佳方法是什么?我是否应该使用非对称加密而不提供公钥(这在JWE规范中是否可能) 沿着这些思路,什么是确保JWE令牌没有被截获,虽然没有被解密,但没有附加到恶意服务器请求,从而有效地允许攻击者模拟客户端的最佳方法 还有,我还遗漏了其他安全问题吗
- 主要使用HTTPS对通信通道进行加密
- 将其安全地存储在客户端上