[Internet上有很多有关JsonWebTokens的信息,但有关使用它来签名HTTP消息的内容的信息并不多。
因此它可以签署自己的声明,但是我不清楚是否有一种标准的方法(和可用的实现方式)让它带有消息正文的签名(至少,无论消息下方是什么) HTTP标头)。
这是最重要的,因为如果另一个客户端窃取了令牌本身,则可以使用它来欺骗不合法的请求,直到过期为止。
我知道这是一个token,因此通常的用法是由授权方将令牌传递给客户端,然后令牌将在请求中将其透明地转发给服务器,但我也看到了当客户端知道共享密钥并合法地为其自身签名请求时。
[整个10MB消息)。JWT的工作不是对
请求主体的内容]进行签名,它是向接收服务提供有关JWT的来源及其所包含的声明的可验证信息。因此,当您的服务收到JWT时,您可以验证其某些或所有重要方面:公钥,如果不对称签名
关于如何确保请求的
content
是它所声称的内容,即TLS-transport layer security的工作。 TLS handshake process是发送服务器和接收服务器之间的基本了解点,可以验证彼此是否可信,并生成自己的非对称密钥集(每个会话!)以加密它们之间的通信。因此,TLS的目的是确保一个受信任源发送的数据完整(并加密)到达另一个受信任源,在此可以对其进行解密。尽管您提出的机制不完全正确,但我相信它可以达到目标。