JWE
JWE 是什么?
JWEJSON Web Encryption(RFC 7516)是 JOSE 系列中的一种格式,通过认证加密以及密钥包装或密钥协商,机密地封装载荷。
JWE(RFC 7516)规定了如何加密任意内容,使其仅能被指定接收者解密并验证。紧凑序列化由五个 Base64URL 段组成:受保护头、加密的密钥、IV、密文和认证标签。头部的 alg 参数选择密钥管理方式,如 RSA-OAEP-256、ECDH-ES+A256KW、A256KW 或 dir;enc 参数选择 AEAD 主体加密算法,常见为 A256GCM 或 A128CBC-HS256。JWE 是加密 ID 令牌、嵌套 JWT(先 JWS 后 JWE)以及高保障 OpenID Connect 流程的基础。实现者必须使用认证加密、校验内部 JWS 的 aud/iss、在新部署中优先选择 X25519 上的 ECDH-ES 而非 RSA-OAEP,并避免 RSA1_5 的 Bleichenbacher 类预言机。
● 示例
- 01
OpenID Connect ID 令牌被封装在 JWE 中,以便 IdP 隐藏中间代理可见的声明。
- 02
两个服务之间的机密消息使用 ECDH-ES+A256KW 密钥协商和 A256GCM 编码为 JWE。
● 常见问题
JWE 是什么?
JSON Web Encryption(RFC 7516)是 JOSE 系列中的一种格式,通过认证加密以及密钥包装或密钥协商,机密地封装载荷。 它属于网络安全的 密码学 分类。
JWE 是什么意思?
JSON Web Encryption(RFC 7516)是 JOSE 系列中的一种格式,通过认证加密以及密钥包装或密钥协商,机密地封装载荷。
JWE 是如何工作的?
JWE(RFC 7516)规定了如何加密任意内容,使其仅能被指定接收者解密并验证。紧凑序列化由五个 Base64URL 段组成:受保护头、加密的密钥、IV、密文和认证标签。头部的 alg 参数选择密钥管理方式,如 RSA-OAEP-256、ECDH-ES+A256KW、A256KW 或 dir;enc 参数选择 AEAD 主体加密算法,常见为 A256GCM 或 A128CBC-HS256。JWE 是加密 ID 令牌、嵌套 JWT(先 JWS 后 JWE)以及高保障 OpenID Connect 流程的基础。实现者必须使用认证加密、校验内部 JWS 的 aud/iss、在新部署中优先选择 X25519 上的 ECDH-ES 而非 RSA-OAEP,并避免 RSA1_5 的 Bleichenbacher 类预言机。
如何防御 JWE?
针对 JWE 的防御通常结合技术控制与运营实践,详见上方完整定义。
JWE 还有哪些其他名称?
常见的别称包括: JSON Web Encryption。
● 相关术语
- cryptography№ 565
JOSE
JavaScript Object Signing and Encryption,IETF 标准家族(RFC 7515-7520 和 8037),用 JSON 表示已签名和加密的数据。
- cryptography№ 573
JWS
JSON Web Signature(RFC 7515)是 JOSE 系列中的一种格式,通过对 Base64URL 编码的头部和负载进行数字签名或 MAC,保护任意内容的完整性与来源。
- cryptography№ 572
JWK
JSON Web Key,定义于 RFC 7517,是用于 JOSE 和 OAuth 系列协议中,表示公钥或私钥的 JSON 对象。
- identity-access№ 574
JWT(JSON Web Token)
紧凑、URL 安全的令牌格式(RFC 7519),携带带签名的 JSON 声明,广泛用作访问令牌、ID 令牌和会话载体。
- identity-access№ 760
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
● 参见
- № 225COSE