Нет необходимости HTTPS, если я собираюсь использовать JOSE(JWT&JWE)?
В последнее время я нахожу решение для веб-безопасности. Насколько мне известно, HTTPS принесет больше безопасности в Интернете, но я нашел другое решение для безопасности JOSE(JWT&JWE), поэтому я хочу знать, я использую его в будущем, могу ли я просто использовать только HTTP, но без HTTPS?
Kris.
Спасибо
2 ответа
Ваш вопрос законен для меня, и мне жаль видеть, что вы получили отрицательные отзывы.
Насколько мне известно, HTTPS принесет больше безопасности сети, но я нашел другое решение безопасности JOSE(JWT&JWE)
Я думаю, что есть путаница между обеими технологиями.
JWE - это просто формат, представляющий контент с использованием структур данных на основе JSON и обеспечивающий защиту целостности и шифрование, тогда как HTTPS - это защищенный уровень для протокола связи HTTP.
JWE не является заменой протокола HTTPS. Использование одной технологии, другой или обеих зависит только от контекста вашего приложения. HTTPS может не быть абсолютно необходимым в некоторых контекстах, а защищенная связь обеспечивается другими средствами.
Вы упомянули, что хотите найти решение для приложения безопасности. В этом контексте всегда должно использоваться защищенное соединение.
Вам абсолютно необходимы HTTPS, даже если вы используете JWT и JWE. HTTPS позволяет вашему клиенту проверить, что он общается с сервером, с которым он ожидает общения. Он также защищает содержимое сообщения, включая токены JWT/JWE, которые вы используете. Без HTTPS любой, кто может прослушивать связь между вашим клиентом и вашим сервером, может выдавать себя за ваших клиентов.
JWT, в частности, может нести информацию о вашем пользователе. Вам может не потребоваться пересылать его на сервер авторизации, предоставивший токен (если вы используете асимметричный ключ подписи), и при этом у вас все еще достаточно информации о личности и разрешениях вашего пользователя, чтобы предоставить или запретить ему доступ к ресурсам, которыми вы являетесь защита.