Как проверить подпись HMAC или RSA-SHA на клиентском JavaScript?

Question

Я использую токены JSON (JWT) для проверки подлинности на основе утверждений. Чтобы помешать фальсификации, я также использую JWS для цифровой подписи маркера.

Как проверить подпись на стороне клиента (я использую JWT для SPA)?

И, в случае, если я также использую JWE, как я могу расшифровать маркерную сторону клиента?

PS: Конечно, я знаю ответ: просто дешифруйте и/или проверьте с помощью алгоритма сопоставления ... мой вопрос скорее о том, как это сделать.

Answer 1

Вы можете использовать JS библиотеки, и вычислить с его помощью на стороне клиента: http://kjur.github.io/jsrsasign/

:)

Answer 2

Имейте в виду, если вы используете HMAC это не будет работать, потому что вы должны были бы делиться секретом с клиентом, что не рекомендуется, потому что браузеры не могут хранить секреты. При асимметричном шифровании это не проблема, потому что браузер может использовать открытый ключ.