所以我正在研究一种最终必须与一台或多台服务器通信的软件。我正在尝试为这个通信的特定部分实现Json Web Tokens(基本上不用于身份验证,他们主要是访问令牌)。
出于某些原因,我希望将敏感数据作为有效载荷的一部分包含在内(不是高度敏感的,更像是出于隐私原因最好不显示的信息,但对应用程序的完整性并不重要)。
在阅读了JWE规范之后,考虑到我必须这样做的可用时间,我想暂时不需要构建一个合适的JWE,只需在创建JWS之前使用自定义函数来加密有效负载。然后将适当的JWE推迟到下一版软件。
是否完全避免?我可以将其用作临时解决方案吗?或者它是否表明我的沟通方式不好?
编辑 - 我更喜欢编辑此主题,因为新问题与第一个问题密切相关,但更精确和具体:
我继续使用适当的安全规范并使用它进行测试。既然我想出了一个好的加密解决方案,并且在这个主题上阅读了很多,似乎我开始使用的方法是有效的:在许多地方都说加密不包括内容完整性,以便消息必须通过MAC(加密后)。
_所以,让我们按照相反的顺序采取初始问题:现在我有一个正确加密的消息,然后需要MAC它,是一个用HMAC算法构建的JWS是一个有效的MAC吗?或者只是将语言滥用称为HMAC JWS?