如果我打算使用JOSE(JWT& JWE),不需要HTTPS吗?

时间:2015-10-08 01:37:46

标签: https jwt jwe

我最近找到了一个Web安全的解决方案,据我所知,HTTPS将带来更多的安全网络,但我找到了JOSE的另一个安全解决方案(JWT& JWE)所以我想知道,我在未来,我可以只使用HTTP而不使用HTTPS吗?

克里斯。
谢谢

2 个答案:

答案 0 :(得分:2)

即使您使用的是JWT和JWE,也绝对需要HTTPS。 HTTPS允许您的客户端验证他们正在与他们期望与之通信的服务器通话。它还保护通信内容,包括您正在使用的JWT / JWE令牌。如果没有HTTPS,任何能够聆听客户端与服务器之间通信的人都可以冒充您的客户。

JWT尤其可以携带有关您用户的信息。您可能不需要将其转发到授予令牌的授权服务器(如果您使用的是非对称签名密钥),并且仍然有足够的有关用户身份和权限的信息,以授予或拒绝他们访问您所拥有的资源保护。

答案 1 :(得分:0)

你的问题对我来说是合法的,我很遗憾看到你收到了downvotes。

  

据我所知,HTTPS将带来更多安全网,但我找到了JOSE的另一个安全解决方案(JWT& JWE)

我认为两种技术之间存在混淆。

JWE只是一种表示使用基于JSON的数据结构的内容的格式,它提供完整性保护和加密,而HTTPS是HTTP通信协议的安全层。

JWE不能替代HTTPS协议。 使用一种技术,其中一种或两种技术仅取决于您的应用环境。在某些情况下,HTTPS可能不是绝对必要的,而其他方式提供的安全通信也是如此。

您提到要为安全应用程序找到解决方案。在这种情况下应始终使用安全连接。