Q&A
「どのような攻撃に対して」安全なのかを議論したいのでしょうか?
JWTの署名はなぜ安全なのでしょうか?署名の生成方法はどのような方法があるのでしょうか?公開鍵とハッシュの二種類あるという記事がありましたが、公開鍵証明書を保管する認証局は必要ないのでしょうか?また、ハッシュの場合は誰でも同じ署名を生成できてしまいそうな気がするのですが、私はどの辺で勘違いをしているのでしょうか?
ハッシュについては勘違いしていましたが、公開鍵による署名において、公開鍵証明書がなければ偽の鍵のペアで署名を生成する事が出来てしまうのではないか、というところが疑問点です。
回答2件
0
JWTの署名は通常公開鍵(暗号?)でもハッシュでもなく、HMACという方法を用います。HMACは鍵を使うので「誰でも同じ署名を生成できてしま」うことはありません。また、鍵はサーバー側で管理すればよく、認証局は必要ありません。そもそも鍵はサーバー単独で使うので、第三者に認証してもらう必要がありません。
投稿2020/10/24 06:58
総合スコア11701
0
公開鍵証明書を保管する認証局は必要ないのでしょうか?
HTTPS経由(もちろん、それをするには認証局発行の証明書が必要)で公開鍵を配信する形としています。
投稿2020/10/24 06:16
総合スコア145183
ユーザ側は秘密鍵を持たないと言うことでしょうか?
はい。ユーザー側は送られたトークンを検証するだけです。
そもそものJWTの仕組みを理解できていなかったようです。
お手数おかけして申し訳ありませんが、JWTの仕組みについて教えていただけないでしょうか?
「JWTの仕組みについて教えていただけないでしょうか?」という要望に素直にお答えするのは難しいので、どの解説を読んで、その解説のどこがわからなかったかを、読んだ解説のURL等を示して再質問するとよいと思います。
あなたの回答
tips
プレビュー
