4 JSON Web Signatures 31
4.1 Structure of a Signed JWT . . . . . . . . . . . . . . . . . . . . . 32
4.1.1 Algorithm Overview for Compact Serialization . . . . . . 33
4.1.2 Practical Aspects of Signing Algorithms . . . . . . . . . . 34
4.1.3 JWS Header Claims . . . . . . . . . . . . . . . . . . . . . 37
4.1.4 JWS JSON Serialization . . . . . . . . . . . . . . . . . . . 38
4.1.4.1 Flattened JWS JSON Serialization . . . . . . . . 39
4.2 Signing and Validating Tokens . . . . . . . . . . . . . . . . . . . 39
4.2.1 HS256: HMAC + SHA-256 . . . . . . . . . . . . . . . . . 40
4.2.2 RS256: RSASSA + SHA256 . . . . . . . . . . . . . . . . . 40
4.2.3 ES256: ECDSA using P-256 and SHA-256 . . . . . . . . . 41
5 JSON Web Encryption (JWE) 43
5.1 Structure of an Encrypted JWT . . . . . . . . . . . . . . . . . . 46
5.1.1 Key Encryption Algorithms . . . . . . . . . . . . . . . . . 47
5.1.1.1 Key Management Modes . . . . . . . . . . . . . 48
5.1.1.2
Content Encryption Key (CEK) and JWE En-
cryption Key . . . . . . . . . . . . . . . . . . . . 50
5.1.2 Content Encryption Algorithms . . . . . . . . . . . . . . . 50
5.1.3 The Header . . . . . . . . . . . . . . . . . . . . . . . . . . 50
5.1.4 Algorithm Overview for Compact Serialization . . . . . . 51
5.1.5 JWE JSON Serialization . . . . . . . . . . . . . . . . . . . 52
5.1.5.1 Flattened JWE JSON Serialization . . . . . . . 54
5.2 Encrypting and Decrypting Tokens . . . . . . . . . . . . . . . . . 55
5.2.1 Introduction: Managing Keys with node-jose . . . . . . . 55
5.2.2 AES-128 Key Wrap (Key) + AES-128 GCM (Content) . 56
5.2.3
RSAES-OAEP (Key) + AES-128 CBC + SHA-256 (Content)
57
5.2.4 ECDH-ES P-256 (Key) + AES-128 GCM (Content) . . . 58
5.2.5
Nested JWT: ECDSA using P-256 and SHA-256 (Signa-
ture) + RSAES-OAEP (Encrypted Key) + AES-128 CBC
+ SHA-256 (Encrypted Content) . . . . . . . . . . . . . . 58
5.2.6 Decryption . . . . . . . . . . . . . . . . . . . . . . . . . . 59
6 JSON Web Keys (JWK) 61
6.1 Structure of a JSON Web Key . . . . . . . . . . . . . . . . . . . 62
6.1.1 JSON Web Key Set . . . . . . . . . . . . . . . . . . . . . 63
7 JSON Web Algorithms 64
7.1 General Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.1.1 Base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64
7.1.1.1 Base64-URL . . . . . . . . . . . . . . . . . . . . 66
7.1.1.2 Sample Code . . . . . . . . . . . . . . . . . . . . 67
7.1.2 SHA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 68
7.2 Signing Algorithms . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.2.1 HMAC . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
7.2.1.1 HMAC + SHA256 (HS256) . . . . . . . . . . . . 75
2
大浪随波2020-10-10版本较旧,积分要的太高
