如何防止与JWE的重播攻击？

Question

我习惯于使用JWE，所以当我需要相同的行为时，但是没有明文用户数据，我查看了JWE。JWE非常类似于JWT；但是，我没有看到exp、nbf或iat字段限制消息的有效时间(在exp时间之后防止重播)。

我的问题是:在实践中，如何保护JWE不被用于重放攻击？

• JWE标头签名了吗？我能把那些时间限制的字段放进去吗？
• 看起来有点粗略，但我是否可以使用iv作为nbf，并在此之后有一个隐含的exp时间(比如1分钟)？或者把nbf和exp挤成IV？
• 如果我必须在JWT中嵌套JWE以防止重播，那么有标准的方法吗？

Answer 1

您可以在JWE中嵌套一个JWT (正如您在最后一点中提到的，不是相反的方式)，JWT可以拥有您想要的字段。

见一个简短的解释这里。