El escenario es que tanto el cliente como el servidor utilizan la misma biblioteca de códigos para cifrar / descifrar mensajes. La aplicación del servidor utiliza la función de cifrado de la biblioteca para cifrar cierto contenido (que debe protegerse) y envía la salida serializada como respuesta a una solicitud de API REST, a través de HTTPS, al cliente. La aplicación cliente utiliza la función de descifrado correspondiente de la biblioteca para descifrar la respuesta. Dado que se utiliza la misma biblioteca de códigos, ambos lados comprenden que el cuerpo de la respuesta es una cadena en formato de serialización compacta JWE. Sin embargo, las aplicaciones en ambos lados no necesitan saber nada sobre los contenidos o su formato. Simplemente llaman a los métodos de la biblioteca.
Mi pregunta es: después de obtener la salida de la función de cifrado, ¿es correcto que la aplicación en el lado del servidor la transmita al cliente con el encabezado Content-Type establecido en application/octet-stream ? Dado que este es el tipo de contenido más genérico, creo que debería estar bien porque a la aplicación no le importa el formato de la salida de la función de cifrado. ¿Es esta la práctica estándar o hay algún otro valor recomendado / preferido / correcto para Content-Type de una respuesta cuyo cuerpo es una cadena en formato JWE Compact Serialization?
ADDENDUM 1:
Encontré el tipo de medio específico application/jose registrado en el Registro de tipos de medios de la IANA para identificar contenido que es un objeto JWS o JWE mediante la serialización compacta de JWS o la serialización compacta de JWE:
enlace
Sin embargo, todavía me gustaría confirmar que, si ambas partes aceptan que el contenido debe interpretarse como un objeto JWE, el envío de Content-Type: application/octet-stream no causará ningún problema.