JWT-非对称加密
我有三台服务器: -授权服务器 -api服务器 -前端服务器 授权服务器返回JWT自包含访问令牌(+刷新令牌)。JWT不存储在授权服务器中的任何位置。 我想用非对称加密保护JWT,但我不确定我的想法是否正确。 让我描述一下流程:JWT-非对称加密,jwt,encryption-asymmetric,Jwt,Encryption Asymmetric,我有三台服务器: -授权服务器 -api服务器 -前端服务器 授权服务器返回JWT自包含访问令牌(+刷新令牌)。JWT不存储在授权服务器中的任何位置。 我想用非对称加密保护JWT,但我不确定我的想法是否正确。 让我描述一下流程: 从前端服务器登录后,授权服务器获取用户凭据,然后生成JWT令牌并使用公钥对其进行编码 前置服务器接收加密的JWT令牌,客户端(web浏览器)将其保存为仅HTTP cookie 客户端向安全资源发送请求,所以前端基于获得的编码JWT令牌,请求安全数据API服务器 API服
- AS使用其私钥对令牌进行签名(例如,算法RSxxx、PSxxx或ESxxx)=>JWS
- JWS根据RFC7516使用非对称加密算法(例如AxxxKW或AxxxGCMKW)和共享密钥=>嵌套令牌(JWE中的JWS)进行加密
- 将嵌套令牌发送到客户端
- 客户端无法读取内容,但令牌可以像往常一样发送到API服务器
- API服务器使用共享密钥解密JWE以获得JWS
- API服务器使用AS公钥验证JWS