Fatal编程技术网
  • web-services/
  • Web services Json Web令牌(JWE)可以用来加密整个Json吗?

Web services Json Web令牌(JWE)可以用来加密整个Json吗?

web-services security encryption

Web services Json Web令牌(JWE)可以用来加密整个Json吗?,web-services,security,encryption,json-web-token,jwe,Web Services,Security,Encryption,Json Web Token,Jwe,我们将有无状态web服务,它接受JSON作为参数 我们已经读过了,但有一件事我不明白,那就是令牌(每个请求的固定部分)怎么可能是无状态的而不被劫持 或者,我们应该将整个JSON参数加密为每个请求中参考表中定义的纯文本。您对JWT的工作原理有何疑问?因为JWE对令牌什么都不做?@Janoz:不,我的问题是关于JWE。JWE的RFC中没有提到令牌。所以我不知道你在劫持什么,这个问题和JWE有什么关系。但是我知道JWT是如何防止劫持的。@Janoz:那么你的意思是可以在请求中加密整个JSONJWT可以

我们将有无状态web服务,它接受
JSON
作为参数

我们已经读过了,但有一件事我不明白,那就是令牌(每个请求的固定部分)怎么可能是无状态的而不被劫持

或者,我们应该将整个
JSON
参数加密为每个请求中参考表中定义的
纯文本

您对JWT的工作原理有何疑问?因为JWE对令牌什么都不做?@Janoz:不,我的问题是关于
JWE
。JWE的RFC中没有提到令牌。所以我不知道你在劫持什么,这个问题和JWE有什么关系。但是我知道JWT是如何防止劫持的。@Janoz:那么你的意思是可以在请求中加密整个
JSON
JWT
可以重放;但这是无法改变的。在这种情况下重放请求意味着劫持它。JWT不足以保护数据的完整性吗?如果不更改MAC并使“签名”无效,则无法更改此数据。这个秘密是重建MAC所需要的,而攻击者并不知道。你的问题是关于JWT是如何工作的吗?因为JWE对令牌什么都不做?@Janoz:不,我的问题是关于
JWE
。JWE的RFC中没有提到令牌。所以我不知道你在劫持什么,这个问题和JWE有什么关系。但是我知道JWT是如何防止劫持的。@Janoz:那么你的意思是可以在请求中加密整个
JSON
JWT
可以重放;但这是无法改变的。在这种情况下重放请求意味着劫持它。JWT不足以保护数据的完整性吗?如果不更改MAC并使“签名”无效,则无法更改此数据。重建MAC需要这个秘密,而攻击者并不知道这个秘密。