JWS 能保護資料的完整性，但資料傳輸過程是明碼傳輸，因此有心人士還是有辦法截取 JWS Payload 裡的內容做其他利用。如果內容也不希望被其他人看到的話，那還有另一個選擇就是 JWE－－RFC 7516 - JSON Web Encryption。

JWS 的全名為 JSON Web Signature，定義在 RFC 7515 裡面，主要定義了資訊的格式以及序列化（serialization）的方法。從名字可以看得出，它有使用到數位簽章技術，或是它也可以使用訊息驗證碼來確保資料的來源以及完整性。

密碼管理在討論的主要以使用者所輸入的密碼為主，而有另一種類似密碼用途的字串，也用在身分驗證上，正是 token。接下來會來討論最近不少人在使用的 JWT，它是一個開放標準，可以用在需要安全交換資料的場景上。

最近前天都在討論如何做身分驗證。目前討論到的三種方法有一個共同特色－－依賴一開始註冊的使用者憑證（credentials）來做為身分驗證的依據，一般最常見的就是使用密碼做為使用者憑證。因此註冊會需要保存密碼，未來才有辦法判斷身分驗證是否成功，但這密碼該如何保管呢。

即使有許多教科書以及第三方套件可以參考，但真的要從頭規劃與設計一個安全的帳號密碼驗證功能，並不是件容易的事。因此有另一個解決方案即為，透過安全可靠的第三方身分驗證提供者（provider）來幫忙做驗證，在開發產品只要專心實現商模即可。

一般使用者需要做身分驗證，呼叫 API 一樣也需要做身分驗證。只是因為情境與角色不同，所以驗證方法會稍有不同。

在 Web 領域裡，要在公開服務上對一般的使用者做身分驗證，最常見的實作即帳號密碼驗證。包括 Google、Facebook、AppleID 等，都是使用帳號密碼驗證。

近年來 Web 與相關技術進步，讓在此平台上的應用程式大放異彩，但同時對於身分驗證的安全要求也更加地嚴謹。

今天將會是密碼學最後一個常見的主題：亂數。

前面已經介紹了非常多密碼學相關的術語或實作，今天要介紹的數位簽章，是加密與雜湊的組合技！