জেএসন ওয়েব টোকেন - পে-লোড পাবলিক কেন?

আমি কোনও জেডাব্লুটিটির দাবি / পেডলোডকে বেস 64 এর ডিকোডিংয়ের পরে সর্বজনীনভাবে দৃশ্যমান করার যুক্তিটি বুঝতে পারি না।

কেন?

দেখে মনে হচ্ছে এটি গোপনের সাথে এনক্রিপ্ট করা আরও বেশি কার্যকর হবে।

কেউ কীভাবে ব্যাখ্যা করতে পারেন, বা কোন পরিস্থিতিতে এই ডেটা প্রকাশ্যে রাখা দরকারী?

আপনি যখন JWT লেখেন, আপনি সম্ভবত JWS বোঝায়। কারণ জেডব্লিউই (এটি জেডাব্লুটিটির "সাবক্লাস") আসলে এটি সামগ্রীকে এনক্রিপ্ট করে।

— আলেক্সি

উত্তর:

আপনি অন্য কোনও কারণে এনক্রিপ্ট না করার কারণে প্যালোডকে এনক্রিপ্ট না করা চয়ন করেন: ব্যয় (তবে এটি ছোট হলেও) সুবিধাটি ছাড়িয়ে যায় এবং প্রচুর ডেটা কেবল সেভাবে সুরক্ষিত হওয়ার প্রয়োজন হয় না।

আপনার বেশিরভাগটির বিরুদ্ধে সুরক্ষার দরকার কী তা হ'ল লোকেরা ডেটা নিয়ে ছত্রভঙ্গ হয় যাতে ভুল রেকর্ডটি আপডেট হয়, বা কারোর চেকিং অ্যাকাউন্টে এটি এমন অর্থ পায় যা এটি ধারণ করার মতো নয়। জেএসওএন ওয়েব টোকেনের স্বাক্ষরটি এটি সম্পাদন করে, কারণ শিরোনামের কোনও অংশ / পেলোড / স্বাক্ষর সংমিশ্রণ প্যাকেটটিকে অকার্যকর করে দেয়।

নোট করুন যে আপনি এসএসএল ব্যবহার করে ট্রান্সপোর্ট লেয়ারে প্যাকেটগুলি সুরক্ষিত করতে পারেন।

— রবার্ট হার্ভে
সূত্র

আহ আমি দেখতে পাচ্ছি, তাই মূলত JWT হ'ল একটি নতুন সিএসআরএফ টোকেন। আপনার ব্যাখ্যার জন্য ধন্যবাদ, এটি বিভ্রান্তি পরিষ্কার করেছে।

— inidedhelp

কোনও জেডব্লিউটি কোনও নতুন সিএসআরএফ টোকেন নয়। এগুলি 2 ভিন্ন জিনিস।

— অ্যাশ

@ যদি কোনও অপারেশনের বিবরণ জেডাব্লুটিটিতে সংরক্ষণ করা হয় এবং সার্ভারে যাচাই করা হয়, জেডাব্লুটিটি মূলত সেই পরিস্থিতিতে সিএসআরএফ প্রতিরোধের ভূমিকা পালন করছে না? আমি বুঝতে পারি যে ভ্যানিলা জেডাব্লুটিটির প্রাথমিক উদ্দেশ্যটি প্রমাণীকরণ, এটি এই উত্তর থেকে খুব স্পষ্ট। আমি মনে করি আমি আরও ডেটা যুক্ত করার এবং একবারে দুটি জিনিস সম্পাদন করার কথা ভাবছিলাম।

— ইনডিহেল্প

@ রবার্টহারভে, আপনি জেডাব্লুটিটি ভুলভাবে ব্যবহার করছেন। জেএসটি JWS এবং JWE এর জন্য একটি "ছাতা" শব্দ। জেডব্লিউএস অনুমোদন করতে হয়, জেডব্লিউই এনক্রিপ্ট করতে হয়। সুতরাং "একটি জেএসওএন ওয়েব টোকেনের উদ্দেশ্য প্রমাণীকরণ করা" আসলে "জেডব্লিউএস অনুমোদন করা" হওয়া উচিত।

— আলেক্সি

@ অ্যালেক্সা: আমি উত্তর দেওয়ার ক্ষেত্রে আমার উত্তরটিতে কিছুটা পরিবর্তন করেছি।

— রবার্ট হার্ভে

আরএফসিতে স্বাক্ষর শব্দটির ব্যবহার অসম্পূর্ণ ক্রিপ্টোগ্রাফিতে ডিজিটাল স্বাক্ষরের সাথে সাদৃশ্যপূর্ণ । অসম্পূর্ণ ক্রিপ্টোগ্রাফিতে যদি প্রেরক তাদের ব্যক্তিগত কী দিয়ে কোনও বার্তা এনক্রিপ্ট করে তবে যার কাছে বার্তা রয়েছে সে প্রেরকের পাবলিক কী দিয়ে এটি ডিক্রিপ্ট করতে পারে। সুতরাং স্বাক্ষর শব্দটির সাথে লক্ষ্যটি কোনও বার্তা গোপন রাখা নয়, তবে বার্তার সত্যতা / প্রেরক যাচাই করা, এটি পরিবর্তন করা হয়নি that

জেডাব্লুটিটির ক্ষেত্রে প্রেরণ সিস্টেমটি বার্তার স্রষ্টা এবং ভোক্তা উভয়ই (নীচের চিত্রটি দেখুন) এবং লক্ষ্যটি লক্ষ্য করা যায় যে ব্যবহারকারীকে দেওয়া টোকেনটি যাতে বিঘ্নিত হয় নি (যেমন উন্নত সুবিধাগুলি দেওয়া হয়েছে) with

এবং @ রবার্ট যেমন উল্লেখ করেছেন, জেডব্লিউটিগুলি এখনও টিএলএস দিয়ে এনক্রিপ্ট করা যায়।

এখানে JWTs এবং স্বাক্ষরগুলির একটি ভাল ব্যাখ্যা দেওয়া আছে যা থেকে নীচের চিত্রটি উত্সাহিত। জেএসএন ওয়েব টোকেন (জেডব্লিউটি) বোঝার জন্য 5 টি সহজ পদক্ষেপ

— মিকা বি।
সূত্র

রবার্ট হারভেয়েস উত্তর যুক্ত করতে, পেডলোড এনক্রিপ্ট করার ক্ষেত্রে একটি উল্লেখযোগ্য অসুবিধা রয়েছে - এর অর্থ এই যে গ্রাহককে টোকেন বহনকারী অনুমোদিত কিনা তা প্রমাণ করার জন্য প্রমাণীকরণ সার্ভারের সাথে একটি গোপনীয়তা ভাগ করা (এনক্রিপশন কী) প্রয়োজন means অথবা না. বিপরীতে যে কেউ প্রমাণীকরণ সার্ভার দ্বারা প্রকাশিত সর্বজনীন কী ব্যবহার করে একটি JWT যাচাই করতে পারে।

এটি ওপেনিড সংযোগ স্পেসিফিকেশনের মূল অংশ কারণ এটি ক্লায়েন্ট অ্যাপ্লিকেশনগুলিকে প্রমাণীকরণের সার্ভার দ্বারা ইস্যু করা টোকেনগুলি বৈধ করতে দেয়, এটি সংস্থান সার্ভারগুলি মোতায়েন করাও সহজ করে তোলে (যেহেতু তাদের গোপন এনক্রিপশনে অ্যাক্সেস সহ মোতায়েনের প্রয়োজন হয় না) কী) এবং জারি করা জেডাব্লুটিটি দিয়ে কোনও সমস্যা নির্ণয়ের চেষ্টা করার সময়ও সহায়তা করে।

— জাস্টিন
সূত্র

আপনি অসমमित এবং প্রতিসামগ্রী এনক্রিপশন পদ্ধতিগুলির তুলনা করার চেষ্টা করছেন, jwt এটি আরএসএ এনক্রিপশনের একটি বাস্তবায়ন।

— অ্যানিম্যাট্রিক্স