JWT、JWS、JWE的區別如下。
簡單說JWS及JWE皆是JWT的一種,不過JWS是以簽章驗證,JWE是加密資料。
JWT(JSON Web Token)是由JWS(JSON Web Signature)簽章或由JWE(JSON Web Encryption)加密傳輸的JSON物件,而"JWT"同時也是此資料傳輸安全驗證架構的名稱。或是說「JWT驗證分為JWS簽章及JWE加密兩種,而由JWS簽章或JWE加密的JSON物件稱為JWT」。JWS是將JWT token做簽章驗證,內容僅編碼但未加密;JWE則是對JWT token作加密,內容有加密。
┌─────────────────────────────┐
│ JWT │
│ │
│ ┌───────────┐ ┌───────────┐ │
│ │ JWS │ │ JWE │ │
│ │┌─────────┐│ │┌─────────┐│ │
│ ││ signed ││ ││encrypted││ │
│ ││ payload ││ ││plaintext││ │
│ │└─────────┘│ │└─────────┘│ │
│ └───────────┘ └───────────┘ │
└─────────────────────────────┘
沒有留言:
張貼留言