Как шифровать payload?

Question

[Falseclock]

В рамках интеграции с партнером есть инструкция, которая гласит:

Payload всех запросов и ответов зашифрованы при помощи JWE (RFC 7516) alg=RSA-OAEP-256, enc=A256CBC-HS512

Собственно вопрос: а что требуется? Я может чего недопонимаю, но как в итоге должен выглядеть обратный JSON ответ?

Я должен отдавать чистый JSON а в заголовках что-то передавать дополнительно? Или отдавать JWE JSON Serialization в HTTP body?

Может кто примеры дать чистых HTTP сообщений что и как должно отдаваться?

Comments

[shurshur]

Я открыл RFC 7516 и там всё очень детально описано, включая подробный пример. Так детально и подробно и длинно-многословно, что я сразу же расхотел реализовывать это вручную своими силами и пошёл искать готовые решения. Например, нашёл python-jose и jwcrypto для python, go-jose и jwe для go, jwe для ruby. openid jwe для java, jose-php для php, и в целом для любого языка можно найти готовые библиотеки и примеры.

[Falseclock]

shurshur, я тоже открыл RFC но ни одного слова про HTTP Headers и какой должен быть body.

Там описан принцип формирования. Вопрос транспорта: как отдавать назад?

[Василий Банников]

Falseclock, обычно, под Payload запроса/ответа понимается именно body

[Falseclock]

Василий Банников, я понимаю. вопрос транспорта.

мне нужно токен в хедере передавать в виде Authorization: Bearer и чистые данные которые подписывались
или мне нужно отдавать JWE JSON Serialization в body с unprotected данными?

[mayton2019]

@Falseclock

Беря во внимание эту штуку

В рамках интеграции с партнером есть инструкция

самый правильный путь - это задавать уточняющие вопросы "по адресу". А то здесь понадают советов.
Будешь принимать за чистую монету а потом ходить и рассказывать что это чистая правда.

JWE описана в RFC и там вроде даже есть примеры. Но ее надо вычитать не с целью садиться кодить
а с целью снова задать вопросы техподдержке партнера.

[shurshur]

Falseclock, обычно если документация пишется нормально, то в ней не только щеголяют умными словами, но и приводят понятные примеры. А если что-то непонятно или странно работает, то спрашивать лучше у того, кто это разрабатывал и реализовывал.

[Falseclock]

mayton2019, да проблема в том что "партнер" пальцы гнет и отправляет читать RFC. А что конкретно ожидает - хер пойми.

отвечал бы партнер - уж не задавал бы вопросы )))

[mayton2019]

Falseclock, я это не могу комментировать. Это ваш стиль ведения бизнеса. Должна быть заинтересованность в коллаборации. Если ее нет - то наверное и это партнерство не нужно.

[Falseclock]

mayton2019, с госами наверное не работали, которые ругуляторкой обязывают

[mayton2019]

Falseclock, тогда все проще. Покупайте коньяк - и в командировку.

[Anonymous]

Answer 1

[Николай Савельев]

Собственно вопрос: а что требуется?

Этот вопрос всегда надо задавать тому, кто формирует требования, а не идти с этим вопросом в интернет к случайным людям.
Мы тут посидим, пообсуждаем, примем решение и ты что-то там реализуешь.
А в итоге окажется, что заказчик немножко "куку" и имел совсем не то, что мы тут посидели и решили.
Иди и общайся с заказчиком.