JWE 如何處理 OIDC 中的請求對象
[英]How JWE works with Request Object in OIDC
問題描述
我想為 OIDC 中的Request Object使用加密的本地 PASETO 令牌,但事實證明我需要將密鑰存儲在某處以解密此請求對象,並且它必須是未加密/未散列可用的,因為它需要Request Object解密。 所以我必須將它作為純文本存儲在數據庫中? 相當危險。 所以我開始想知道 JWE 是如何工作的,但是https://datatracker.ietf.org/doc/html/rfc7516#section-5.1中關於 JWE 加密的文檔讓我很困惑。 JWE 是否解決了將對稱密鑰作為純文本存儲在數據庫中的問題,還是有其他方法?
1 個解決方案
解決方案1
1 已采納 2022-07-12 13:13:38
這里有幾種不同的解決方案,可以解決不同的問題:
加密的 JWT
當應用程序想要防止信息泄露時,可以使用這些。 它們由授權服務器發布,授權服務器使用公鑰對其進行加密。 然后應用程序有負擔維護私鑰來解密它們。 有關示例用法,請參閱加密的 ID 令牌。
請求對象
這些通常用於防止man in the browser篡改。 該應用程序只需要處理它已經可以訪問的公鑰,因此該解決方案更易於管理。 如本摘要所示,使用了PAR和JARM等較新的標准。
智威湯遜信息披露
如果您想避免在訪問令牌 JWT 中泄露敏感數據,那么通常的技術是僅將不透明的訪問令牌返回給 Internet 客戶端。 這比加密更容易管理。 請參閱Phantom Token Pattern了解其工作原理。
概括
我通常會避免將密鑰管理引入應用程序。 旨在改為在授權服務器中進行管理。
如何在java中使用私鑰解密JWE(Json Web Encryption)數據
[英]How to decrypt JWE(Json Web Encryption) data using private key in java
當加密令牌以String形式存在時,如何解密用JWE加密的Java中的JWT?
[英]How to decrypt a JWT, in java, which is encrypted with JWE when the encrypted token is present in form of String?
如何使用存儲在 HSM 中的公鑰將 json 字符串加密為 JWE(Json Web 加密)?
[英]How to encrypt a json string as JWE (Json Web Encryption) by using public key stored in HSM?
如何解密C#中的JWE源碼(使用RSA1_5 A256CBC-HS512加密)?
[英]How to decrypt JWE source (encrypted with RSA1_5 A256CBC-HS512) in C#?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用 JWE 生成 JWT/JWS
如何使用node-jose生成加密的JWE
如何為JWE實現生成內容加密密鑰
如何實現與JOSE / JWE / JWT一起使用的concat KDF
如何在java中使用私鑰解密JWE(Json Web Encryption)數據
當加密令牌以String形式存在時,如何解密用JWE加密的Java中的JWT?
嵌套的 JWS + JWE 與帶有經過身份驗證的加密的 JWE
如何使用存儲在 HSM 中的公鑰將 json 字符串加密為 JWE(Json Web 加密)?
如何解密C#中的JWE源碼(使用RSA1_5 A256CBC-HS512加密)?
結合JWE和JWS
相關標簽