Saltar al contenido principal
JSON Web Encryption (JWE) es un estándar de la IETF para representar contenido cifrado en JSON. En Auth0, puede configurar las API para cifrar los datos de un con el formato JWE. Cuando se usa JWE, Auth0 genera un que contiene un conjunto de claims firmados mediante JSON Web Signature (JWS). Este token de acceso JWT luego se cifra con JWE y se serializa en el formato JWE Compact. Esto permite que las soluciones mantengan la confidencialidad de los datos incluidos en los claims de los tokens de acceso y, al mismo tiempo, garanticen la protección de la integridad mediante una firma.

Generar y validar un token de acceso

Configurar JWE para cada API. Si ha configurado apiIdentifier para usar JWE, el ejemplo de código solicita un token de acceso cifrado mediante la concesión de credenciales de cliente para una aplicación Machine-to-Machine (M2M). JWE está disponible para todos los tipos de concesión compatibles con Auth0. 
curl -X POST --location "https://{domain}/oauth/token" \
    -H "Content-Type: application/x-www-form-urlencoded" \
    -d "client_id={clientId}&client_secret={clientSecret}&audience={apiIdentifier}&grant_type=client_credentials"
 Una respuesta satisfactoria contiene un token de acceso cifrado: 
{
  "access_token": "eyJ…XAw",
  "expires_in": 86400,
  "token_type": "Bearer"
}
Cuando se usa el token de acceso, el debe descifrar y validar el token JWE. El encabezado del token JWE contiene metadatos que describen el algoritmo criptográfico (alg), el algoritmo de cifrado del contenido (enc) y, si se proporcionó al configurar la API, el id de la clave (kid) que se utilizó para cifrar la carga útil. 
{
  …
  "alg": "A256GCM",
  "enc": "RSA-OAEP-256",
  "kid": "my-kid"
}
Con esta información, el servidor de recursos debería poder descifrar el token JWE. El resultado es un JWT firmado convencional, que puede verificarse con las claves del inquilino de Auth0. Para obtener más información sobre cómo configurar JWE para su API, lea Configurar JSON Web Encryption.

Más información