我正在開發一個網站,已與谷歌登錄。一旦用戶登錄,我會從google js api獲得一個id令牌併發送給服務器進行驗證。谷歌OAuth智威湯遜本地驗證
我可以使用Google令牌信息終端輕鬆驗證並執行此過程,但這會導致大量的HTTPS請求,因爲每次用戶使用Google登錄時都會向Google發送HTTPS請求。
因此,我在服務器本地驗證JWT(id令牌),我已成功驗證JWT沒有問題。我面臨的問題是我必須在程序中緩存google公開JWKs。
我想每次找不到相應JWTs「kid」的正確JWK時更新JWK。但是這會導致在每次發現沒有找到相應「孩子」的JWK時向Google發送HTTPS請求。
這會是一個漏洞嗎? 我有更新Google公開JWK的靜態時間段嗎?
有人可以幫助我嗎?並指出我在正確的方向,如果我做錯什麼
感謝
因此,使用Apache HTTP客戶端向終端發送正常的HTTPS請求應該驗證它的禮儀? –