Lo scenario è che la stessa libreria di codici viene utilizzata da client e server per crittografare / decrittografare i messaggi. L'applicazione server utilizza la funzione di crittografia della libreria per crittografare del contenuto (che deve essere protetto) e invia l'output serializzato come risposta a una richiesta API REST, su HTTPS, al client. L'applicazione client utilizza la funzione di decrittografia corrispondente della libreria per decrittografare la risposta. Poiché viene utilizzata la stessa libreria di codici, entrambe le parti comprendono che il corpo della risposta è una stringa nel formato di serializzazione JWE Compact. Tuttavia, le applicazioni su entrambi i lati non hanno bisogno di sapere nulla sul contenuto o sul suo formato. Chiamano solo i metodi della biblioteca.
La mia domanda è: dopo aver ottenuto l'output dalla funzione di crittografia, è corretto per l'applicazione sul lato server per lo streaming al client con Content-Type intestazione impostata su application/octet-stream ? Poiché questo è il tipo di contenuto più generico, penso che dovrebbe essere OK perché l'applicazione non si preoccupa del formato dell'output dalla funzione di crittografia. È questa la pratica standard o c'è qualche altro consigliato / preferito / valore corretto per Content-Type di una risposta il cui corpo è una stringa in formato di serializzazione JWE Compact?
ADDENDUM 1:
Ho trovato il tipo di supporto specifico application/jose come registrato nel registro IANA dei tipi di media per identificare il contenuto che è un oggetto JWS o JWE utilizzando la serializzazione JWS Compact o la serializzazione JWE Compact:
link
Tuttavia, vorrei comunque confermare che, se entrambe le parti accettano che il contenuto deve essere interpretato come un oggetto JWE, quindi l'invio di Content-Type: application/octet-stream non causerà alcun problema.