0
試圖瞭解OAuth2中的雙腿客戶端憑據方案。有些人認爲JWT是訪問令牌的優秀格式,因爲它是獨立的,資源服務器不需要從授權服務器(STS)驗證令牌。但是,這是如何完成的?我看到資源服務器本身驗證JWT的唯一方法是在服務器上存儲一個用於驗證簽名的公鑰。如何在不訪問驗證服務器的情況下驗證OAuth2訪問令牌(JWT)
試圖瞭解OAuth2中的雙腿客戶端憑據方案。有些人認爲JWT是訪問令牌的優秀格式,因爲它是獨立的,資源服務器不需要從授權服務器(STS)驗證令牌。但是,這是如何完成的?我看到資源服務器本身驗證JWT的唯一方法是在服務器上存儲一個用於驗證簽名的公鑰。如何在不訪問驗證服務器的情況下驗證OAuth2訪問令牌(JWT)
當使用JWT作爲訪問令牌時,資源服務器不需要調用授權服務器來驗證它。實際上,資源服務器需要存儲授權服務器的公鑰才能這樣做。獲取該公鑰是一個帶外過程。
驗證JWT包括檢查簽名以及對令牌中嵌入的聲明的一些附加檢查,例如,時間戳(iat
,exp
,nbf
)和標識符(aud
)。
JWT優於其他形式的簽名數據/令牌的優點是JWTS是標準化和靈活的。它們使用的密碼術使得使用標準庫來創建/驗證它們成爲可能,而不必編寫自定義代碼。
當然。我只是想澄清,如果你實際上回答了我的問題或不:)所以你的意思是1)在資源服務器上使用公鑰的情況下,JWT是獨立的?所以這裏沒有其他的「魔術」,JWT令牌內容通過公鑰驗證。 2)爲什麼這隻對智威湯遜特別?您也可以在任何其他情況下使用公鑰... – user1340582
在這些主題上添加了一些文本 –