JWT 令牌是否需要 IntroSpection Endpoint?

【问题标题】:Is IntroSpection Endpoint needed for JWT token?JWT 令牌是否需要 IntroSpection Endpoint?
【发布时间】:2018-03-29 21:37:53
【问题描述】:

由于 JWT 令牌是自包含的,它可以在资源服务器本地验证,资源不需要将令牌发送到 IdentityServer IntroSpection Endpoint 进行验证。

我检查了IdentityServer4.AccessTokenValidation 的实现,如果 IdentityServerAuthenticationOptions 设置为支持 JWT,它会在本地验证 JWT 令牌。将 IntroSpection 端点用于 JWT 令牌的唯一方法是将 IdentityServerAuthenticationOptions 设置为仅支持引用。

是否有任何特殊情况需要将 JWT 访问令牌发送到 IntroSpection Endpoint?

对于本地不具备加密能力的资源服务器,是否应该得到引用令牌,而不是JWT令牌?

【问题讨论】:

    标签: oauth-2.0 identityserver4


    【解决方案1】:

    JWT 通常在资源服务器上进行本地验证。

    IdentityServer 还可以在自省端点验证 JWT,这是一个技术细节。可以使用例如当资源服务器没有合适的 JWT 库时(并且您不想在 IS 端存储引用令牌)。

    【讨论】:

      【解决方案2】:

      据我所知,自省端点可以单独使用,也可以与 JWT 一起使用。

      这是两种可能的身份验证方案:

      • 仅 JWT:我只使用 JWT 进行身份验证。
      • JWT 和自省端点:这里我使用 JWT 提供核心信息(如发行者信息),使用自省端点提供需要额外安全级别的更精细调整的信息(如客户端信息、范围信息等)。

      【讨论】:

        猜你喜欢
        • 2019-09-19
        • 2023-02-26
        • 2015-11-10
        • 2019-07-12
        • 1970-01-01
        • 2019-12-29
        • 2021-08-26
        • 1970-01-01
        • 2020-09-29
        相关资源
        最近更新 更多
        热门标签
        Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode