我最近找到了一个Web安全解决方案,据我所知,HTTPS将带来更多的安全网,但我找到了JOSE(JWT和JWE)的另一个安全解决方案,所以我想知道,我将来使用它,我能不能仅使用HTTP但没有HTTPS?
克里斯。 谢谢
即使您使用的是JWT和JWE,也绝对需要HTTPS。 HTTPS允许您的客户端验证他们正在与他们期望与之通信的服务器通话。它还保护通信内容,包括您正在使用的JWT / JWE令牌。如果没有HTTPS,任何能够收听客户端与服务器之间通信的人都可以冒充您的客户。
JWT尤其可以携带有关您用户的信息。您可能不需要将其转发到授予令牌的授权服务器(如果您使用的是非对称签名密钥),并且仍然有足够的有关用户身份和权限的信息,以授予或拒绝他们访问您所拥有的资源保护。
你的问题对我来说是合法的,我很遗憾看到你收到了downvotes。
据我所知,HTTPS将带来更多的安全网络,但我找到了JOSE的另一个安全解决方案(JWT和JWE)
我认为这两种技术之间存在混淆。
JWE只是一种表示使用基于JSON的数据结构的内容的格式,它提供完整性保护和加密,而HTTPS是HTTP通信协议的安全层。
JWE不是HTTPS协议的替代品。使用一种技术,其中一种或两种技术仅取决于您的应用环境。在某些情况下,HTTPS可能不是绝对必要的,而其他方式提供的安全通信也是如此。
您提到要为安全应用程序找到解决方案。应始终在该上下文中使用安全连接。