问题描述
让我的头脑围绕着 JWE 和密钥管理模式。 JWE 的重点是防止第三方查看/更改令牌。只有令牌发行者和资源服务器才能使用它。 (这是正确的吗?)
要加密令牌的有效负载,我们需要生成 CEK(内容加密密钥)。此密钥提供给“enc”JOSE 字段内指定的对称算法。 根据 https://tools.ietf.org/html/rfc7516,我们有 5 种方式获得 CEK。
- 密钥加密。 CEK 是随机生成的,有效载荷使用 CEK 加密,CEK 使用非对称算法 - 公钥加密 - 根据“auth”JOSE 字段,并嵌入到令牌中。 资源服务器可以发现-推导出相应的私钥,并使用非对称算法解密CEK。 资源服务器可以通过多种方式发现对应的公钥。其中之一是 JOSE 标头中的 jkw。 jkw 代表对应的公钥。
- 密钥包装。 CEK 是随机生成的,payload 使用 CEK 加密,CEK 使用对称算法加密,并嵌入到令牌中。
在这种情况下,资源服务器如何破译 CEK? - 直接密钥协议。 CEK 是根据密钥协商算法决定的。
在这种情况下,发行者和资源服务器是否合作以首先获得 CEK?他们是否会在生成 CEK 之前保持会话一段时间?这是否超出规范? - 带有密钥包装的密钥协议。 CEK是随机生成的。
那我们为什么要提到关键协议? - 直接加密。 CEK 带外交换。
感谢您的任何反馈。
解决方法
暂无找到可以解决该程序问题的有效方法,小编努力寻找整理中!
如果你已经找到好的解决方法,欢迎将解决方案带上本链接一起发送给小编。
小编邮箱:dio#foxmail.com (将#修改为@)