我最近正在寻找网络安全的解决方案,据我所知,HTTPS 会带来更多的安全网络,但我发现了另一个 JOSE(JWT&JWE) 的安全解决方案,所以我想知道,我将来会使用它,我可以仅使用 HTTP 但不使用 HTTPS ?
克里斯。
谢谢
问问题
324 次
2 回答
3
你的问题对我来说是合法的,我很遗憾看到你收到了反对票。
据我所知,HTTPS 会带来更多的安全网络,但我发现了另一个 JOSE(JWT&JWE)的安全解决方案
我认为这两种技术之间存在混淆。
JWE 只是一种使用基于 JSON 的数据结构表示内容并提供完整性保护和加密的格式,而 HTTPS 是 HTTP 通信协议的安全层。
JWE 不是 HTTPS 协议的替代品。使用一种技术,另一种或两种技术仅取决于您的应用程序上下文。HTTPS 在某些情况下可能不是绝对必要的,并且通过其他方式提供的安全通信。
您提到您想为安全应用程序找到解决方案。应始终在该上下文中使用安全连接。
于 2017-12-30T09:56:51.370 回答
1
即使您使用 JWT 和 JWE,您也绝对需要 HTTPS。HTTPS 允许您的客户端验证他们正在与他们期望与之交谈的服务器交谈。它还保护通信内容,包括您正在使用的 JWT/JWE 令牌。如果没有 HTTPS,任何可以监听您的客户端和服务器之间通信的人都可以冒充您的客户端。
特别是 JWT 可以携带有关您的用户的信息。您可能不需要将其转发到授予令牌的授权服务器(如果您使用的是非对称签名密钥),并且仍然有足够的关于您的用户的身份和权限的信息来授予或拒绝他们访问您所拥有的资源保护。
于 2015-11-25T01:56:53.087 回答