JOSE
JSON Object Signing and Encryption
JOSE is a framework intended to provide a method to securely transfer claims (such as authorization information) between parties. The JOSE framework provides a collection of specifications to serve this purpose.
https://jose.readthedocs.io/en/latest/
JOSE`関連のワーキンググループがIETFにあった。
Javascript Object Signing and Encryption (jose) Concluded WG
https://datatracker.ietf.org/group/jose/documents/
JWK
JWS
JWE
JWT
JOSEに対する批判
JOSE(JavaScriptオブジェクトへの署名と暗号化)は、絶対に避けるべき悪い標準規格である
https://postd.cc/jwt-json-web-tokens-is-bad-standard-that-everyone-should-avoid/
"alg":"none"を指定できてしまう
検証者がRSA公開鍵による署名を期待しているにもかかわらず、悪意ある被検証者が"alg":"HS256"と指定し、RSA公開鍵をHMACの共有鍵として使わせることで、
IANAのJOSE関連のレジストリ
https://www.iana.org/assignments/jose/jose.xhtml
JWK