所以我正在开发一种最终必须与一个或多个服务器通信的软件。我正在尝试为此通信的特定部分实施 Json Web 令牌(基本上不是用于身份验证,它们将主要是访问令牌)。
出于某些原因,我希望将敏感数据作为有效负载的一部分包含在内(不是高度敏感,更像是出于隐私原因最好不要显示的信息,但对应用程序完整性并不重要)。
在阅读了 JWE 规范并考虑到我必须这样做的可用时间之后,我想暂时放弃构建适当 JWE 的任务,并在创建 JWS 之前使用自定义函数来加密有效负载。然后,适当的 JWE 将延迟到软件的下一个版本。
完全可以避免吗?我可以将其用作临时解决方案吗?还是说我的沟通方式设计不好?
编辑 - 我更喜欢编辑这个主题,因为新问题与第一个问题密切相关,但更精确和具体:
我继续使用适当的安全规范和测试。既然我想出了似乎是一个很好的加密解决方案,并且阅读了很多关于这个主题的内容,我开始使用的方法似乎是有效的:很多地方都说加密没有涵盖内容完整性,因此消息必须通过 MAC(加密后)。
_所以,让我们以相反的顺序来回答最初的问题:既然我有一个正确加密的消息,然后需要对其进行 MAC,那么使用 HMAC 算法构建的 JWS 是否是有效的 MAC?还是将其称为 HMAC JWS 只是语言滥用?