Я недавно нашел решение для веб-безопасности. Насколько я знаю, HTTPS принесет больше веб-сайтов безопасности, но я нашел еще одно решение безопасности JOSE (JWT & JWE), поэтому я хочу знать, я использую его в будущем , могу ли я просто использовать только HTTP, но без HTTPS?Не нужно HTTPS, если я собираюсь использовать JOSE (JWT & JWE)?
Kris.
Спасибо
Вам абсолютно необходим HTTPS, даже если вы используете JWT и JWE. HTTPS позволяет вашему клиенту проверить, что они разговаривают с сервером, с которым они хотят поговорить. Он также защищает содержимое сообщения, включая токены JWT/JWE, которые вы используете. Без HTTPS любой, кто может слушать общение между вашим клиентом и вашим сервером, может олицетворять ваших клиентов.
В частности, JWT может нести информацию о пользователе. Вам может не потребоваться перенаправить его на сервер авторизации, который предоставил токен (если вы используете асимметричный ключ подписи), и у вас по-прежнему имеется достаточная информация об удостоверениях и разрешениях вашего пользователя предоставлять или запрещать им доступ к ресурсам, которые вы защита.
Ваш вопрос законен для меня, и мне очень жаль видеть, что вы получили downvotes.
Насколько я познал HTTPS принесет больше веб-безопасности, но я нашел другое решение безопасности Хозе (JWT & JWE)
Я думаю, что есть путаница между обеими технологиями.
JWE - это просто формат, представляющий контент с использованием структур данных на основе JSON и обеспечивающий защиту целостности и шифрование, тогда как HTTPS является защищенным слоем для протокола связи HTTP.
JWE не является заменой протоколу HTTPS. Использование одной технологии, другой или любой из них зависит только от контекста вашего приложения. HTTPS не может быть абсолютно необходимо в некоторых контекстах и защищенной связью, предоставляемой другими способами.
Вы упомянули, что хотите найти решение для приложения безопасности. В этом контексте всегда следует использовать защищенное соединение.
Это зависит от того, что вам действительно нужно. Вы хотите предоставить пользователям конфиденциальность? Тогда да, конечно, вы должны использовать HTTPS. – Lucio
Также запутались, JWT & JWE не могли предоставить конфиденциальность пользователю? Насколько я знаю, он будет проверять данные и шифровать данные, недостаточно ли для пользователя конфиденциальности? – Kris
Есть много концепций, которые вы пропускаете. Как насчет обнюхивания истории пользователей? Опять же, я не знаю, каковы ваши фактические потребности. В любом случае HTTPS будет более безопасным и приватным, чем что-либо в HTTP. – Lucio