6. Key Identification (密钥识别)

JWS 的接收方必须能够确定用于数字签名或 MAC 操作的密钥. 可以使用第 4.1 节中描述的 Header Parameter 方法识别所用密钥, 也可以使用本规范范围之外的方法识别. 具体来说, Header Parameters "jku"、"jwk"、"kid"、"x5u"、"x5c"、"x5t" 和 "x5t#S256" 可用于识别所用密钥. 如果要在信任决策中使用这些 Header Parameters 传达的信息, 则这些参数必须 (MUST) 受完整性保护; 但是, 如果信任决策中使用的唯一信息是密钥, 则这些参数不需要受完整性保护, 因为以导致使用不同密钥的方式更改它们将导致验证失败.

生产者应该 (SHOULD) 在 Header Parameters 中包含足够的信息来识别所用密钥, 除非应用程序使用另一种方法或约定来确定所用密钥. 当所用算法需要密钥 (除 "none" 之外的所有算法都是如此) 且无法确定所用密钥时, 签名或 MAC 的验证将失败.

交换任何使用的共享对称密钥的方法超出了本规范的范围.