JWK
Что такое JWK?
JWKJSON Web Key (RFC 7517) — JSON-объект, представляющий открытый или закрытый криптографический ключ для протоколов семейства JOSE и OAuth.
JWK (RFC 7517) представляет криптографический ключ в виде JSON-объекта, параметры которого зависят от типа ключа (kty): RSA-ключи содержат n, e и при необходимости d/p/q; EC-ключи — crv, x, y и опционально d; OKP-ключи (RFC 8037) — crv и x для Ed25519/X25519; oct-ключи — симметричный k. Метаданные включают kid (идентификатор ключа), alg, use (sig или enc) и key_ops. JWK Set (jwks) объединяет несколько ключей и обычно публикуется по /.well-known/jwks.json, чтобы релай-стороны могли проверять токены доступа OAuth 2.0 и ID-токены OpenID Connect. JWK — канонический формат для IdP-провайдеров (Auth0, Okta, Keycloak, Cognito) и библиотек jose, node-jose, python-jwt.
● Примеры
- 01
Провайдер OpenID Connect публикует свои ключи подписи как JWK Set по адресу https://issuer.example.com/.well-known/jwks.json.
- 02
WebAuthn relying party хранит публичные ключи пользователей в виде JWK с kty:EC и crv:P-256.
● Частые вопросы
Что такое JWK?
JSON Web Key (RFC 7517) — JSON-объект, представляющий открытый или закрытый криптографический ключ для протоколов семейства JOSE и OAuth. Относится к категории Криптография в кибербезопасности.
Что означает JWK?
JSON Web Key (RFC 7517) — JSON-объект, представляющий открытый или закрытый криптографический ключ для протоколов семейства JOSE и OAuth.
Как работает JWK?
JWK (RFC 7517) представляет криптографический ключ в виде JSON-объекта, параметры которого зависят от типа ключа (kty): RSA-ключи содержат n, e и при необходимости d/p/q; EC-ключи — crv, x, y и опционально d; OKP-ключи (RFC 8037) — crv и x для Ed25519/X25519; oct-ключи — симметричный k. Метаданные включают kid (идентификатор ключа), alg, use (sig или enc) и key_ops. JWK Set (jwks) объединяет несколько ключей и обычно публикуется по /.well-known/jwks.json, чтобы релай-стороны могли проверять токены доступа OAuth 2.0 и ID-токены OpenID Connect. JWK — канонический формат для IdP-провайдеров (Auth0, Okta, Keycloak, Cognito) и библиотек jose, node-jose, python-jwt.
Как защититься от JWK?
Защита от JWK обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия JWK?
Распространённые альтернативные названия: JSON Web Key, jwks.
● Связанные термины
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption — семейство стандартов IETF (RFC 7515-7520 и 8037) для представления подписанных и зашифрованных данных в JSON.
- cryptography№ 573
JWS
JSON Web Signature (RFC 7515) — формат JOSE, защищающий целостность и происхождение произвольного контента через цифровую подпись или MAC над Base64URL-кодированными заголовком и нагрузкой.
- cryptography№ 571
JWE
JSON Web Encryption (RFC 7516) — формат JOSE, конфиденциально упаковывающий полезную нагрузку с помощью аутентифицированного шифрования и схемы обёртки или согласования ключей.
- identity-access№ 574
JWT (JSON Web Token)
Компактный URL-безопасный формат токена (RFC 7519) с подписанными JSON-утверждениями; используется как access token, ID token и контейнер сессии.
- identity-access№ 760
OpenID Connect (OIDC)
Слой идентификации поверх OAuth 2.0, позволяющий клиентам проверять подлинность пользователя и получать базовые сведения о профиле через подписанные ID-токены.