Content-Type per un payload di serializzazione compatto JWE

0

Lo scenario è che la stessa libreria di codici viene utilizzata da client e server per crittografare / decrittografare i messaggi. L'applicazione server utilizza la funzione di crittografia della libreria per crittografare del contenuto (che deve essere protetto) e invia l'output serializzato come risposta a una richiesta API REST, su HTTPS, al client. L'applicazione client utilizza la funzione di decrittografia corrispondente della libreria per decrittografare la risposta. Poiché viene utilizzata la stessa libreria di codici, entrambe le parti comprendono che il corpo della risposta è una stringa nel formato di serializzazione JWE Compact. Tuttavia, le applicazioni su entrambi i lati non hanno bisogno di sapere nulla sul contenuto o sul suo formato. Chiamano solo i metodi della biblioteca.

La mia domanda è: dopo aver ottenuto l'output dalla funzione di crittografia, è corretto per l'applicazione sul lato server per lo streaming al client con Content-Type intestazione impostata su application/octet-stream ? Poiché questo è il tipo di contenuto più generico, penso che dovrebbe essere OK perché l'applicazione non si preoccupa del formato dell'output dalla funzione di crittografia. È questa la pratica standard o c'è qualche altro consigliato / preferito / valore corretto per Content-Type di una risposta il cui corpo è una stringa in formato di serializzazione JWE Compact?

ADDENDUM 1: Ho trovato il tipo di supporto specifico application/jose come registrato nel registro IANA dei tipi di media per identificare il contenuto che è un oggetto JWS o JWE utilizzando la serializzazione JWS Compact o la serializzazione JWE Compact:   link

Tuttavia, vorrei comunque confermare che, se entrambe le parti accettano che il contenuto deve essere interpretato come un oggetto JWE, quindi l'invio di Content-Type: application/octet-stream non causerà alcun problema.

    
posta Ajoy Bhatia 27.11.2017 - 22:18
fonte

1 risposta

0

Trovata un'altra risorsa rilevante: RFC 8188 sezione 4.6 - in particolare bullet # 2. Sembra ragionevole concludere che application/octet-stream sia valido per qualsiasi tipo di contenuto e sostanzialmente uguale a non specificare affatto un intestazione Content-Type . È anche indicato nella RFC collegata che è possibile scegliere una delle opzioni per evitare la perdita di informazioni nei campi di intestazione se è considerata sensibile.

    
risposta data 29.03.2018 - 21:35
fonte

Leggi altre domande sui tag