0
试图了解OAuth2中的双腿客户端凭据方案。有些人认为JWT是访问令牌的优秀格式,因为它是独立的,资源服务器不需要从授权服务器(STS)验证令牌。但是,这是如何完成的?我看到资源服务器本身验证JWT的唯一方法是在服务器上存储一个用于验证签名的公钥。如何在不访问验证服务器的情况下验证OAuth2访问令牌(JWT)
试图了解OAuth2中的双腿客户端凭据方案。有些人认为JWT是访问令牌的优秀格式,因为它是独立的,资源服务器不需要从授权服务器(STS)验证令牌。但是,这是如何完成的?我看到资源服务器本身验证JWT的唯一方法是在服务器上存储一个用于验证签名的公钥。如何在不访问验证服务器的情况下验证OAuth2访问令牌(JWT)
当使用JWT作为访问令牌时,资源服务器不需要调用授权服务器来验证它。实际上,资源服务器需要存储授权服务器的公钥才能这样做。获取该公钥是一个带外过程。
验证JWT包括检查签名以及对令牌中嵌入的声明的一些附加检查,例如,时间戳(iat
,exp
,nbf
)和标识符(aud
)。
JWT优于其他形式的签名数据/令牌的优点是JWTS是标准化和灵活的。它们使用的密码术使得使用标准库来创建/验证它们成为可能,而不必编写自定义代码。
当然。我只是想澄清,如果你实际上回答了我的问题或不:)所以你的意思是1)在资源服务器上使用公钥的情况下,JWT是独立的?所以这里没有其他的“魔术”,JWT令牌内容通过公钥验证。 2)为什么这只对智威汤逊特别?您也可以在任何其他情况下使用公钥... – user1340582
在这些主题上添加了一些文本 –