JWK
O que é JWK?
JWKJSON Web Key, definido pela RFC 7517, e um objeto JSON que representa uma chave criptografica publica ou privada para uso em JOSE e na familia OAuth.
Uma JWK (RFC 7517) representa uma chave criptografica como objeto JSON com parametros que dependem do tipo de chave (kty): chaves RSA carregam n, e e opcionalmente d/p/q; chaves EC carregam crv, x, y e opcionalmente d; chaves OKP (RFC 8037) carregam crv e x para Ed25519/X25519; chaves oct carregam a chave simetrica k. Os metadados incluem kid (identificador), alg, use (sig ou enc) e key_ops. Um JWK Set (jwks) agrupa varias chaves, normalmente exposto em /.well-known/jwks.json para que as relying parties validem tokens de acesso OAuth 2.0 ou ID tokens OpenID Connect. JWK e o formato canonico consumido por Auth0, Okta, Keycloak e Cognito, alem de bibliotecas como jose, node-jose e python-jwt.
● Exemplos
- 01
Um provedor OpenID Connect publica as suas chaves de assinatura como JWK Set em https://issuer.example.com/.well-known/jwks.json.
- 02
Uma relying party WebAuthn guarda as chaves publicas dos utilizadores como JWKs com kty:EC e crv:P-256.
● Perguntas frequentes
O que é JWK?
JSON Web Key, definido pela RFC 7517, e um objeto JSON que representa uma chave criptografica publica ou privada para uso em JOSE e na familia OAuth. Pertence à categoria Criptografia da cibersegurança.
O que significa JWK?
JSON Web Key, definido pela RFC 7517, e um objeto JSON que representa uma chave criptografica publica ou privada para uso em JOSE e na familia OAuth.
Como funciona JWK?
Uma JWK (RFC 7517) representa uma chave criptografica como objeto JSON com parametros que dependem do tipo de chave (kty): chaves RSA carregam n, e e opcionalmente d/p/q; chaves EC carregam crv, x, y e opcionalmente d; chaves OKP (RFC 8037) carregam crv e x para Ed25519/X25519; chaves oct carregam a chave simetrica k. Os metadados incluem kid (identificador), alg, use (sig ou enc) e key_ops. Um JWK Set (jwks) agrupa varias chaves, normalmente exposto em /.well-known/jwks.json para que as relying parties validem tokens de acesso OAuth 2.0 ou ID tokens OpenID Connect. JWK e o formato canonico consumido por Auth0, Okta, Keycloak e Cognito, alem de bibliotecas como jose, node-jose e python-jwt.
Como se defender contra JWK?
As defesas contra JWK costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para JWK?
Nomes alternativos comuns: JSON Web Key, jwks.
● Termos relacionados
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption: familia de padroes do IETF (RFC 7515-7520 e 8037) para representar dados assinados e cifrados em JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) e um formato JOSE que protege a integridade e a origem de conteudos atraves de assinatura digital ou MAC sobre o cabecalho e o payload em Base64URL.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) e um formato JOSE que encapsula confidencialmente um payload com cifragem autenticada e um esquema de wrapping ou acordo de chave.
- identity-access№ 574
JWT (JSON Web Token)
Formato de token compacto e seguro para URL (RFC 7519) que transporta claims JSON assinadas; usado como access token, ID token e contentor de sessao.
- identity-access№ 760
OpenID Connect (OIDC)
Camada de identidade construída sobre OAuth 2.0 que permite aos clientes verificar a identidade de um utilizador e obter dados básicos de perfil através de ID tokens assinados.