【发布时间】:2021-06-23 20:21:48
【问题描述】:
使用加密令牌的优点之一是隐私 - 令牌内容无法读取。
如果还有其他专业人士,我正在徘徊。一种具体的想法与签名令牌 (JWS) 有关。
拥有许多 JSW 的攻击者能否找出签名密钥?这是因为签名密钥的内容可以被读取和匹配。
如果令牌已加密,则无法执行此操作,因为无法读取内容。
谢谢。
【问题讨论】:
【发布时间】:2021-06-23 20:21:48
【问题描述】:
为了让攻击者找到签名密钥,他必须侵入发行方的系统或接收方的系统。
JWS 规范对 Key ID 或 child 进行了规定,它向接收者提示使用哪个密钥来签署 Token 。这是可以理解的,因为在任何给定时间点,系统都可以为此目的拥有多个有效密钥,并且适当的孩子将指向用于签名的正确密钥集。
因此,任何人要找出签名密钥(它的值),他将需要侵入发行者或接收者的系统。
另外,有些人也更喜欢使用 JSON Web Key URL (jku),它是另一个标头参数,是一个绝对 URL,它引用一组 JSON 编码的公钥的资源,其中一个对应于用于签署 JWS。
【讨论】: