谷歌OAuth智威湯遜本地驗證

Question

我正在開發一個網站，已與谷歌登錄。一旦用戶登錄，我會從google js api獲得一個id令牌併發送給服務器進行驗證。

我可以使用Google令牌信息終端輕鬆驗證並執行此過程，但這會導致大量的HTTPS請求，因爲每次用戶使用Google登錄時都會向Google發送HTTPS請求。

因此，我在服務器本地驗證JWT（id令牌），我已成功驗證JWT沒有問題。我面臨的問題是我必須在程序中緩存google公開JWKs。

我想每次找不到相應JWTs「kid」的正確JWK時更新JWK。但是這會導致在每次發現沒有找到相應「孩子」的JWK時向Google發送HTTPS請求。

這會是一個漏洞嗎？ 我有更新Google公開JWK的靜態時間段嗎？

有人可以幫助我嗎？並指出我在正確的方向，如果我做錯什麼

感謝

Answer 1

具有在TLS公佈鍵的點保護端點是你可以將它們快速轉動。谷歌這樣做。每次令牌進入kid時，您都需要獲取新的密鑰，該密碼之前未被緩存。如果確保您驗證Google在JWK端點上提供的TLS服務器證書，則不存在任何漏洞。 Google可能會使用靜態輪換間隔，但試圖使用這種間隔只會增加下載次數（因爲適時「即時」），Google可能會隨時更改間隔。