使用加密令牌的优点之一是隐私 - 令牌内容无法读取。
如果有其他专业人士,我就在徘徊。一个具体的想法与签名令牌 (JWS) 相关。
拥有许多 JSW 的攻击者能否找出签名密钥?这是因为可以读取和匹配签名密钥的内容。
如果令牌已加密,则无法执行此操作,因为无法读取内容。
谢谢。
答案 0 :(得分:0)
为了让攻击者找到签名密钥,他必须侵入发行方的系统或接收方的系统。
JWS 规范规定了 Key ID 或 Kid ,它向接收者提示使用哪个密钥对 Token 进行签名。这是可以理解的,因为在任何给定的时间点,系统都可以有多个用于此目的的有效密钥,适当的孩子会指向用于签名的正确密钥集。
因此,任何人要找出签名密钥(它的价值),他都需要闯入发行方或接收方的系统。
或者,有些人也更喜欢使用 JSON Web Key URL (jku),它是另一个标头参数,是一个绝对 URL,指的是一组 JSON 编码的公钥的资源,其中一个对应于用于签署 JWS。