Шифрование полезной нагрузки JWT без доступа к токену JS

Question

Я хочу зашифровать полезную нагрузку JWT с помощью текущих методов, таких как метод шифрования симметрии c или асимметрии c. Мой вопрос заключается в том, что, если я использую эти методы, javascript необходимо выполнить какое-либо действие с моими данными на стороне клиента? или все же все части шифрования и проверки будут выполняться на стороне сервера? в этой статье говорится, что если вам нужно зашифровать полезную нагрузку, вы должны сохранить ключ publi c (из-за алгоритма шифрования, такого как RSA или ...). ПОЧЕМУ? Если я хочу зашифровать полезную нагрузку, зачем нам хранить ключ publi c (или любые ключи) в токене jwt? есть ли способ шифровать полезную нагрузку симметрично только на стороне сервера? и не нужно javascript обращаться к ним и манипулировать токеном?

Answer 1

Вы неверно истолковываете статью

Чтобы зашифровать JWT для данного получателя, вам необходимо знать их ключ c RSA.

Вероятно, это будет более понятно, если он прочитает

Чтобы зашифровать JWT для данного получателя, чтобы они могли его расшифровать , вам необходимо знать их открытый ключ c RSA.

Это означает, что если клиент хотел бы зашифровать что-то для отправки вам , чтобы вы могли расшифровать, им нужно было бы знать только ваше publi c key, и вам нужно будет знать только свой закрытый ключ. Если вы хотите зашифровать то, что клиент может расшифровать , вам понадобится ключ publi c клиентов.

Звучит так, как будто вы хотите зашифровать что-то для отправки клиенту, что Затем они могут отправить вам обратно для расшифровки. Поскольку вы шифруете и дешифруете, клиенту не нужно отправлять ключи (если вы не используете другой ключ для клиента , в этом случае вам нужно будет отправить им ключ publi c, который вы использовали чтобы вы могли выяснить, какой закрытый ключ расшифровать).