如何解决JWE 和密钥管理模式
让我的头脑围绕着 JWE 和密钥管理模式。 JWE 的重点是防止第三方查看/更改令牌。只有令牌发行者和资源服务器才能使用它。 (这是正确的吗?)
要加密令牌的有效负载,我们需要生成 CEK(内容加密密钥)。此密钥提供给“enc”JOSE 字段内指定的对称算法。 根据 https://tools.ietf.org/html/rfc7516,我们有 5 种方式获得 CEK。
- 密钥加密。 CEK 是随机生成的,有效载荷使用 CEK 加密,CEK 使用非对称算法 - 公钥加密 - 根据“auth”JOSE 字段,并嵌入到令牌中。 资源服务器可以发现-推导出相应的私钥,并使用非对称算法解密CEK。 资源服务器可以通过多种方式发现对应的公钥。其中之一是 JOSE 标头中的 jkw。 jkw 代表对应的公钥。
- 密钥包装。 CEK 是随机生成的,payload 使用 CEK 加密,CEK 使用对称算法加密,并嵌入到令牌中。
在这种情况下,资源服务器如何破译 CEK? - 直接密钥协议。 CEK 是根据密钥协商算法决定的。
在这种情况下,发行者和资源服务器是否合作以首先获得 CEK?他们是否会在生成 CEK 之前保持会话一段时间?这是否超出规范? - 带有密钥包装的密钥协议。 CEK是随机生成的。
那我们为什么要提到关键协议? - 直接加密。 CEK 带外交换。
感谢您的任何反馈。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。