如果我使用 JWE 发送加密的 JSON 消息,该消息将存储在客户端以供授权使用,为什么客户端需要解密此消息?
客户端将 JWE 令牌附加到所有请求。服务器使用 JWE 令牌识别客户端并响应或拒绝请求。在整个过程中,只有服务器可以解密。
如果这个结构没有问题,实现它的最佳方法是什么?我是否应该使用非对称加密而不提供公钥(这在 JWE 规范中是否可行)?
按照这些思路,确保 JWE 令牌没有被截获并且(虽然没有解密)附加到恶意服务器请求的最佳方法是什么,从而有效地允许攻击者冒充客户端?
另外,我还遗漏了其他安全问题吗?
【问题讨论】:
如果我使用 JWE 发送加密的 JSON 消息,该消息将存储在客户端以供授权使用,为什么客户端需要解密此消息?
当客户端需要读取 JWT 中包含的一些数据时,例如用户 id 或过期日期。并非所有情况都需要这样做。
客户端将 JWE 令牌附加到所有请求。服务器使用 JWE 令牌识别客户端并响应或拒绝请求。
是的,这是通常的授权流程
自始至终,只有服务器可以解密。
不一定。服务器可以使用例如 RSAES-OAEP 使用接收者的公钥来加密 加密密钥。然后接收者将能够使用他的私钥解密 JWT
如果这个结构没有问题,实现它的最佳方法是什么?我是否应该使用非对称加密而不提供公钥(这在 JWE 规范中是否可行)?
这取决于您的要求。如果您希望客户端可以解密 JWT,您需要提供密钥或使用非对称加密并将消息加密给收件人
按照这些思路,确保 JWE 令牌没有被截获并且(虽然没有解密)附加到恶意服务器请求的最佳方法是什么,从而有效地允许攻击者冒充客户端?
拥有 JWT 是身份验证的证明。如果令牌被盗,则攻击者可以冒充用户。所以你需要保护它以降低风险:
主要使用HTTPS加密通信通道
安全存储在客户端上。
【讨论】: