Какие могут быть недостатки / недостатки использования пользовательского шифрования в JWS? (РЕДАКТИРОВАТЬ: JWS является действительным MAC?)

Поэтому я работаю над программным обеспечением, которое в конечном итоге должно будет обмениваться данными с одним или несколькими серверами. Я экспериментирую с внедрением веб-токенов Json для определенных частей этого сообщения (в основном не для аутентификации, в основном это будут токены доступа).

По некоторым причинам я хотел бы включить конфиденциальные данные в качестве части полезной нагрузки (не очень чувствительные, скорее как информация, которую лучше не показывать по соображениям конфиденциальности, но не критично для целостности приложения).

После прочтения спецификаций JWE и рассмотрения доступного времени, которое я должен сделать, я бы хотел на данный момент сэкономить задачу создания правильного JWE и просто использовать пользовательскую функцию для шифрования полезной нагрузки перед созданием JWS. Правильный JWE будет отложено до следующей версии программного обеспечения.

Это полностью следует избегать? Могу ли я использовать это как временное решение? Или это скорее признак плохого дизайна моих способов общения?

РЕДАКТИРОВАТЬ - Я предпочел редактировать эту тему, так как новый вопрос тесно связан с первым, но немного более точным и конкретным:

Я продолжал с надлежащими спецификациями безопасности и тестами с ним. Теперь, когда я пришел к тому, что кажется хорошим решением для шифрования, и прочитал намного больше по этому вопросу, кажется, что подход, с которым я начал работать, был бы верным: во многих местах указано, что шифрование не охватывает целостность контента, так что сообщение должно пройти через MAC (после шифрования).

Итак, давайте возьмем начальный вопрос в обратном порядке: теперь, когда у меня есть правильно зашифрованное сообщение, а затем мне нужно его MAC, является ли JWS, созданный с помощью алгоритма HMAC, действительным MAC? Или это просто злоупотребление языком, чтобы назвать это HMAC JWS?