由于JWT令牌是自包含的,因此可以在资源服务器中本地验证它,并且资源不需要将令牌发送到IdentityServer IntroSpection endpoints 进行验证 .
我检查IdentityServer4.AccessTokenValidation的实现,如果IdentityServerAuthenticationOptions设置为支持JWT,它将在本地验证JWT令牌 . 将IntroSpection endpoints 用于JWT令牌的唯一方法是将IdentityServerAuthenticationOptions设置为仅支持引用 .
是否有任何特殊情况需要将JWT访问令牌发送到IntroSpection endpoints ?
对于本地没有加密功能的资源服务器,是否应该获得引用令牌而不是JWT令牌?
2 回答
JWT通常在资源服务器上进行本地验证 .
IdentityServer还可以在内省 endpoints 验证JWT,这是一个技术细节 . 这可以用于例如当资源服务器没有适当的JWT库时(并且您不希望在IS端存储引用令牌) .
据我所知,内省终点可以单独使用,也可以与JWT一起使用 .
这两种可能的身份验证方案:
只有JWT:我只使用JWT进行身份验证 .
JWT和内省 endpoints :这里我使用JWT提供核心信息(如发行人信息)和内省 endpoints ,以提供更精细的调整信息,这需要额外的安全级别(如客户信息,范围信息等) .