我是 JWT 的新手,我阅读了 RFC 7519 和很多关于 JWE 和 JWS 问题的网站,但我对这个话题有点困惑。
JWE 是编码的,JWS 是编码和签名的。 RFC 描述“
如果 JOSE 标头用于 JWS,则 JWT 表示为 JWS,并且声明是数字 sigend 或 MACed,JWT 声明集是 JWS 有效负载。
如果 JOSE HeHeader 用于 JWE,则 JWT 表示为 JWE,并且声明是加密的,JWT 声明集是由 JWE 加密的明文”
这在 JWT.io 框架中是如何工作的?是需要我自己实现还是需要额外的库??
最好的问候 迈克尔
【问题讨论】:
标签: php jwt json-web-token
JWE 是编码的,JWS 是编码和签名的。
不完全是,JWE 是指 JWT 是数字加密的,JWS 是指数字签名的。
jwt.io 不支持 JWE 并且部分支持 JWS(仅使用 HS256 或 RS256 算法的紧凑序列化表示)。 有几个用例的库列表,但未列出支持 JWE 的库。
在 Spomky-Labs,我们开发了 a PHP library that supports JWE and JWS,其中列出了 RFC7518 中列出的所有算法。
【讨论】:
JWT 标头中的声明定义了JWE 或JWS。在底线下都是JWTs?它是否正确?因为,我为JWE 和JWS 阅读了RFC,并且只有关于hte head 声明的描述。我问了这么多,因为我也想了解具体细节而不是粗略的摘要。
cty/typ 标头),如何获取该主体(是否加密或签名)以及如何验证其内容(critical 声明,b64编码...)。