没有任何 JS 访问令牌的 JWT 有效负载加密

Posted 2023-03-10

【中文标题】没有任何 JS 访问令牌的 JWT 有效负载加密

【英文标题】：JWT payload encryption without any JS access to token

【发布时间】：2020-05-31 11:57:50

【问题描述】：

我想使用对称或非对称加密方法等当前方法加密 JWT 有效负载。 我的问题是，如果我使用这些方法，javascript 需要在客户端对我的数据执行任何操作吗？还是加密和验证的所有部分都将在服务器端完成？ 在这个article 中，他们说如果你需要加密有效负载，你必须存储公钥（由于像 RSA 或...这样的加密算法）。为什么？ 如果我想加密有效负载，为什么我们需要将公钥（或任何密钥）存储在 jwt 令牌中？ 有没有办法只在服务器端对称地加密有效负载？并且不需要 javascript 访问它们并操作令牌？

【参考方案1】：

你误解了这篇文章

要为给定收件人加密 JWT，您需要知道他们的公共 RSA 密钥。

如果读起来可能会更清楚

要为给定收件人加密 JWT，以便他们可以解密它，您需要知道他们的公共 RSA 密钥。

这意味着如果客户端想要加密一些东西发送给你，你可以解密，他们只需要知道你的公钥，你只需要知道你的私钥。如果你想加密客户端可以解密的东西，你需要客户端的公钥。

听起来您想加密某些内容以发送给客户端，然后他们可以将其发送回您以供您解密。由于您同时在加密和解密，因此不需要向客户端发送任何密钥（除非您使用不同的密钥每个客户端，在这种情况下，您需要向他们发送您使用的公钥，以便您可以找出用哪个私钥解密）。

【讨论】：

如果我们决定只使用像 AES 这样的对称算法加密有效负载，服务器可以使用只有服务器拥有该密钥的密钥加密有效负载，然后 jwt 向客户端发送令牌，现在令牌已加密有效负载，客户端获取令牌，然后发送回服务器。在这种情况下，任何主体都无法读取有效载荷数据并找到有效载荷中的内容。这是真的吗？？

正确。没有人（除了你的服务器）

@Joe 整个对话都是关于加密的 JWT