เนื่องจากเป็นที่ต้องการ ลงชื่อแล้วเข้ารหัส ฉันสงสัยว่าบุคคลอื่นสามารถตรวจสอบได้อย่างไรว่าข้อความนั้นถูกต้อง
กรณีการใช้งาน I มี ดังต่อไปนี้...
- ไคลเอนต์รับรองความถูกต้องและรับโทเค็นการเข้าถึง โทเค็นการเข้าถึงคือ JWT ที่ลงชื่อจากเซิร์ฟเวอร์การอนุญาต
- ลูกค้าตรวจสอบว่า JWT ลงนามโดยคีย์ที่ลูกค้ารู้จัก
- ลูกค้าส่งคำขอด้วย JWT ที่ส่งผ่านส่วนหัวเป็นโทเค็น Bearer
- เมื่อเซิร์ฟเวอร์ได้รับคำขอ จะตรวจสอบอย่างรวดเร็วเพื่อดูว่า JWT ลงนามโดยคีย์ที่เซิร์ฟเวอร์ทรัพยากรรู้จักหรือไม่
ตอนนี้ฉันต้องการเปลี่ยนเพื่อให้ลูกค้าไม่จำเป็นต้องเห็นเนื้อหา
- ลูกค้ารับรองความถูกต้องและได้รับโทเค็นการเข้าถึง โทเค็นการเข้าถึงคือ เจดับบลิว จากเซิร์ฟเวอร์การอนุญาต เข้ารหัสด้วยรหัสสาธารณะของเซิร์ฟเวอร์ทรัพยากร
- เป็นไปได้ไหม ลูกค้าตรวจสอบว่า JWE ลงนามโดยคีย์ที่ลูกค้ารู้จัก
- ลูกค้าส่งคำขอด้วย JWE ที่ส่งผ่านส่วนหัวเป็นโทเค็น Bearer
- เป็นไปได้ไหม เซิร์ฟเวอร์ทรัพยากรตรวจสอบว่า JWE ลงนามโดยคีย์ที่เซิร์ฟเวอร์ทรัพยากรรู้จัก
- เซิร์ฟเวอร์ทรัพยากรถอดรหัส JWE เพื่อรับการอ้างสิทธิ์ JWT
จากกรณีการใช้งานข้างต้น การเข้ารหัสแล้วเซ็นชื่อ หรือ เข้ารหัสแล้วเซ็นชื่อ เหมาะสมกว่า
