VK
ну не хеш бейсд
Size: a a a
2021 April 13
SP
> In cryptography, an HMAC (sometimes expanded as either keyed-hash message authentication code or hash-based message authentication code) is a specific type of message authentication code (MAC) involving a cryptographic hash function and a secret cryptographic key. As with any MAC, it may be used to simultaneously verify both the data integrity and the authenticity of a message.
SP
подпись не хэш бэйзд? Ты что говоришь такое?
SP
RSA и прочие ecdsa да можно юзать не только для хэшей, но можно юзать для того что бы получить хэши
SP
у тебя была фраза в стиле "фу JWT". Без пояснений. Скорее всего ты стал жертвой вот этой картинки (будет хуже если ты не можешь обосновать почему ты так сказал).
http://cryto.net/~joepie91/blog/attachments/jwt-flowchart.png
http://cryto.net/~joepie91/blog/attachments/jwt-flowchart.png
VK
я в курсе, но
SP
> ну не хеш бейсд
тогда в курсе чего ты?)
тогда в курсе чего ты?)
SP
так вот, HMAC это просто про "есть сообщение и его достоверность надо подтвердить".
AK
VK
я понимал как hash + secret
VK
просто энкрипшен это другое) не суть
VK
именно везде в контексте jwt это так и понимают и разделяют hmac или rsa,ecdsa
SP
нет, это лишь говорит что ты не разобрался когда и зачем это юзать. JWT можно вообще одноразовыми делать. Для Сессий JWT юзать плохая идея, но вот для передачи сообщений между штука хорошая.
SP
не, это не так. HMAC базируется на подписи + секрета да. Но алгоритм ты можешь юзать разный. Можешь юзать симетричные с общим секретом (SHA256) можешь юзать асемитричные (RSA например) и валидировать токены публичными ключами которые валяются вообще в третьем месте и удобно это все линковать через JWKSet