Веб-подпись JSON - JSON Web Signature

А Веб-подпись JSON (сокращенно JWS) является IETF -предлагаемый стандарт (RFC 7515 ) за подписание произвольные данные.[1] Это используется в качестве основы для различных веб-технологий, включая Веб-токен JSON.

Цель

JWS - это способ обеспечить целостность информации в высокоэффективном сериализуемый, машиночитаемый формат. Это означает, что это информация, а также доказательство того, что информация не изменилась с момента подписания. Его можно использовать для отправки информации с одного веб-сайта на другой, и он особенно нацелен на общение в Интернете. Он даже содержит компактную форму, оптимизированную для таких приложений, как URI параметры запроса.[2]

Примеры

Интернет-коммерция

JWS можно использовать для приложений, в которых информация с цифровой подписью должна отправляться в машиночитаемом формате, например электронная коммерция. Например, предположим, что пользователь по имени Боб просматривает цены на виджеты на веб-сайте (widgets.com) и желает получить расценки на одном из них. Затем widgets.com может предоставить Бобу объект JWS, содержащий всю необходимую информацию о виджете, включая цену, а затем подписать его, используя свой закрытый ключ. Тогда у Боба будет неопровержимый ценовое предложение на товар.

Доступ к сторонним ресурсам

Возможно, Widgets.com и WidgetStorage.com заключат сделку, по которой WidgetStorage.com будет принимать купоны от Widgets.com в обмен на трафик. Widgets.com может выпустить JWS, давая Бобу скидку 10% на сайте WidgetStorage.com. Опять же, поскольку данные подписаны, WidgetStorage может знать, что это было отправлено Widgets.com. Если данные не были подписаны, Боб мог изменить свою скидку до 50%, и никто не мог узнать об этом, просто взглянув на данные.

Ограничения

JWS - один из стандартов серии JOSE[3] и предназначен для использования в сочетании с ними. Например, для шифрования Веб-шифрование JSON (JWE)[4] предполагается использовать вместе.

По состоянию на 2015 год JWS был предложенным стандартом и был частью нескольких других проектов стандартов IETF,[5] и в сети был доступен код для реализации проекта стандарта.[6][7]

Рекомендации

  1. ^ "Веб-подпись JSON (JWS) [RFC7515]".
  2. ^ «Обзор компактной сериализации JWS».
  3. ^ «Подпись и шифрование объектов JSON (JOSE)». Управление по присвоению номеров в Интернете. 2015-01-23. Получено 2018-11-19.
  4. ^ "Веб-шифрование JSON (JWE) [RFC7516]". ietf.org. Получено 13 мая 2015.
  5. ^ "Веб-ключ JSON (JWK) [RFC7517]". ietf.org. Получено 13 мая 2015.
  6. ^ "google / google-oauth-java-client". GitHub. Получено 13 мая 2015.
  7. ^ "Веб-токены JSON - jwt.io". jwt.io. Получено 13 мая 2015.