Din moment ce se preferă să semnează-apoi-criptează Mă întrebam cum poate o altă parte să valideze că mesajul este valid?
Cazul de utilizare I a avut a fost urmatorul...
- Clientul se autentifică și primește jetonul de acces, jetonul de acces este un JWT semnat de la serverul de autorizare
- Clientul verifică dacă JWT este semnat de o cheie pe care o recunoaște clientul
- Clientul trimite cereri cu JWT transmis în antet ca simbol Bearer.
- când serverul primește cererea, face o verificare rapidă pentru a vedea dacă JWT este semnat de o cheie pe care serverul de resurse o recunoaște.
Acum vreau să schimb asta, astfel încât clientul să nu aibă nevoie să vadă conținutul.
- Clientul se autentifică și primește jetonul de acces, acesta este JWE de pe serverul de autorizare. Criptat cu cheia publică a serverului de resurse.
- ESTE POSIBIL? Clientul verifică dacă JWE este semnat de o cheie pe care o recunoaște clientul
- Clientul trimite cereri cu JWE transmis în antet ca simbol Bearer.
- ESTE POSIBIL? Serverul de resurse verifică dacă JWE este semnat de o cheie pe care serverul de resurse o recunoaște
- Serverul de resurse decriptează JWE pentru a obține revendicările JWT.
Având în vedere cazul de utilizare de mai sus, este mai logic să criptați-apoi-semnați sau semn-criptați-apoi-semnați.
