我最近找到了一个Web安全的解决方案,据我所知HTTPS会带来更多的安全性Web,但我发现了另一个安全解决方案的何塞(JWT&JWE),所以我想知道,我在未来使用它,我可以只使用HTTP,但没有HTTPS吗?
克里斯。
由于
你的问题对我来说是合法的,我很遗憾看到你得到了不赞成。
据我所知,HTTPS将带来更多的安全网络,但我找到了另一个安全解决方案的何塞(JWT&JWE)
我认为这两种技术之间存在混淆。
JWE只是一种使用基于JSON的数据结构表示内容的格式,它提供完整性保护和加密,而HTTPS是HTTP通信协议的安全层。
JWE不是HTTPS协议的替代品。一种技术、另一种技术或两者的使用仅取决于您的应用程序上下文。在某些情况下,HTTPS可能不是绝对必要的,并且可以通过其他方式提供安全通信。
你提到你想要找到一个安全应用程序的解决方案。在此上下文中应该始终使用安全连接。
即使您正在使用jwt和JWEs,也绝对需要HTTPS。HTTPS允许您的客户端验证他们正在与他们期望与之通信的服务器进行通信。它还保护通信的内容,包括您正在使用的JWT/JWE令牌。如果没有HTTPS,任何人都可以监听您的客户端和服务器之间的通信,可以冒充您的客户端。
特别是jwt可以携带有关用户的信息。您可能不需要将其转发到授予令牌的授权服务器(如果您使用的是非对称签名密钥),并且仍然有足够的关于用户身份和权限的信息来授予或拒绝他们访问您正在保护的资源。